Hey,

der pc von meim dad wird fürs geschäft usw. benutzt. er ist in letzter zeit sehr langsam und hap sämtliche virentest gemacht. spyware doctor hat bei den suchergebnissen dann angezeigt:


Backdoor.GrayBird.K

ich kann den backdoor net löschen, weil ich das programm erst kaufen müsste.

Meine Frage jetz:

wenn wir das kaufen würden, würde dann alles von dem backdoor nach dem löschen weg sein?

hab gegoogelt und gesehen das man es manuell entfernen kann, das aber wahrscheinlich zu hoch für mich is ;D


bitte um hilfe

greeZ

Hi,

und vermutlich hat Spyware Doctor auch nicht mitgeteilt, wo er das gefunden hat. Panik schüren hilft eben gut die Verkaufszahlen anzukurbeln. Da wird auch gerne mal was erfunden. Ich würde dieses Schrottprogramm deinstallieren.

Stell mal ein HijackThis rein und berichte genauer, was bereits an Scans erledigt wurde.

Gruß, Karl

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Escan ist ein weiteres dieser Programme, die mit Fehlalarmen um sich schmeißen, um dann auf ihre Kaufversion aufmerksam zu machen. Ok, der arbeitet wenigstens mit Kaspersky-Erkennungen, schöne Ergänzung zu Antivir, aber auch zu haben ohne die hinzugefügten Fehlalarme: Kaspersky Online

ansosnten mache ich da noch eine RX Toolbar aus. Erstmal in Systemsteuerung Software schauen, ob sie sich da deinstallieren lässt.

hier diese main von dem scanner:


Deckard's System Scanner v20071014.68
Run by Thomas Poppe on 2008-05-24 23:57:53
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Failed to create restore point; System Restore is disabled (service is not running).


-- Last 5 Restore Point(s) --
18: 2008-05-23 13:47:46 UTC - RP18 - Software Distribution Service 3.0
17: 2008-05-22 16:54:19 UTC - RP17 - Software Distribution Service 3.0
16: 2008-05-19 19:30:47 UTC - RP16 - Windows Defender Checkpoint
15: 2008-05-19 17:43:21 UTC - RP15 - Software Distribution Service 3.0
14: 2008-05-19 17:40:47 UTC - RP14 - Windows Defender wird installiert


-- First Restore Point --
1: 2008-05-13 16:08:24 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Thomas Poppe.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

-- Files created between 2008-04-25 and 2008-05-25 -----------------------------

2008-05-24 22:10:21 0 d-a------ C:\WINNT\zts2.exe
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\vcmgcd32.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\systems.txt
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\iifgfgf.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\rundll16.exe
2008-05-24 22:10:21 0 d-a------ C:\WINNT\rundl132.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\logo1_.exe
2008-05-24 19:23:07 0 d-------- C:\Programme\Spyware Doctor
2008-05-20 11:18:20 0 d-------- C:\Programme\MaSt's DHTML-Menü Designer
2008-05-19 19:40:48 0 d-------- C:\Programme\Windows Defender
2008-05-19 19:29:51 159744 --a------ C:\WINNT\system32\hasher.dll <Not Verified; ; hasher Dynamic Link Library>
2008-05-19 18:43:27 17408 --a------ C:\WINNT\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI>
2008-05-19 18:43:26 0 d-------- C:\Programme\PrevxCSI
2008-05-19 16:25:36 0 d-------- C:\Programme\Multimedia Fusion 2
2008-05-18 10:13:09 0 d-------- C:\Programme\Trend Micro
2008-05-16 17:10:10 0 d-------- C:\WINNT\cache-93423-17382-59373-28323
2008-05-16 12:32:56 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\dwhelper
2008-05-16 11:57:30 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-15 15:52:43 0 --a------ C:\WINNT\ativpsrm.bin
2008-05-14 16:45:49 0 d-------- C:\Programme\ICQ6
2008-05-14 16:07:25 0 d-------- C:\Programme\Ten Thumbs Typing Tutor
2008-05-14 14:22:27 0 d-------- C:\Programme\Windows Media Connect 2
2008-05-14 14:21:28 0 d-------- C:\WINNT\system32\LogFiles
2008-05-14 14:21:28 0 d-------- C:\WINNT\system32\drivers\UMDF
2008-05-14 14:12:03 0 d-------- C:\WINNT\Prefetch
2008-05-14 14:06:39 0 d-------- C:\WINNT\system32\de-de
2008-05-14 14:06:38 0 d-------- C:\WINNT\system32\de
2008-05-14 14:06:38 0 d-------- C:\WINNT\l2schemas
2008-05-14 14:04:02 0 d-------- C:\WINNT\network diagnostic
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\usmt
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\oobe
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\IME
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\icsxml
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\3com_dmi
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\3076
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\2052
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1054
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1042
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1041
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1037
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1033
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1031
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1028
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1025
2008-05-13 19:12:06 0 d-------- C:\WINNT\Resources
2008-05-13 19:12:06 0 d-------- C:\WINNT\mui
2008-05-13 19:12:06 0 d-------- C:\WINNT\java
2008-05-13 18:37:44 0 d-------- C:\WINNT\system32\PreInstall
2008-05-13 18:37:42 0 d--h----- C:\WINNT\$hf_mig$
2008-05-13 18:19:17 0 d-------- C:\WINNT\peernet
2008-05-13 18:19:16 0 d-------- C:\WINNT\provisioning
2008-05-13 18:17:50 0 d-------- C:\WINNT\ServicePackFiles
2008-05-13 18:13:13 0 d-------- C:\WINNT\EHome
2008-05-13 17:32:19 0 d-------- C:\WINNT\system32\xircom
2008-05-13 17:30:36 0 d-------- C:\Programme\Online-Dienste
2008-05-13 17:29:57 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-05-13 17:29:54 0 d-------- C:\WINNT\srchasst
2008-05-13 17:29:49 0 d-------- C:\WINNT\system32\Restore
2008-05-13 17:28:59 0 d-------- C:\Programme\Online Services
2008-05-13 17:28:46 0 d-------- C:\WINNT\system32\FxsTmp
2008-05-13 17:28:25 0 d-------- C:\Programme\MSN Gaming Zone
2008-05-13 17:28:06 0 d-------- C:\WINNT\system32\MsDtc
2008-05-13 17:21:52 0 d-------- C:\WINNT\system32\ReinstallBackups
2008-05-13 17:18:27 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-05-13 17:17:49 0 d-------- C:\WINNT\system32\CatRoot2
2008-05-13 17:07:53 0 d-------- C:\WINNT\setup.pss
2008-05-12 21:21:29 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_460.dat
2008-05-12 13:06:22 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_114.dat
2008-05-12 13:04:13 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_404.dat
2008-05-12 01:28:03 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_214.dat
2008-05-12 00:28:16 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_110.dat
2008-05-11 22:42:14 0 --a------ C:\Dokumente und Einstellungen\Thomas Poppe\ftp
2008-05-11 21:52:19 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6a0.dat
2008-05-11 21:52:19 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_5c4.dat
2008-05-11 21:51:49 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_57c.dat
2008-05-11 21:51:45 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_3b0.dat
2008-05-10 14:21:48 0 d-------- C:\Programme\QIP
2008-05-08 15:41:59 0 d-------- C:\Programme\Adventure Maker v4.5.1
2008-05-07 14:43:10 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\My Documents
2008-05-07 14:11:40 0 d-------- C:\Programme\WolfQuest
2008-05-05 13:21:47 0 d-------- C:\Westwood
2008-05-04 16:46:20 0 d-------- C:\Programme\Yume Team
2008-05-04 16:32:01 0 d-------- C:\Programme\Enterbrain
2008-05-02 14:42:24 0 d-------- C:\Programme\3D-Fahrschule 4 - Demo
2008-05-02 13:23:05 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6bc.dat
2008-05-02 13:23:05 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6a4.dat
2008-05-02 13:22:33 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_588.dat


-- Find3M Report ---------------------------------------------------------------

2008-05-24 19:24:22 414130 --a----c- C:\WINNT\system32\perfh007.dat
2008-05-24 19:24:22 79618 --a------ C:\WINNT\system32\perfc007.dat
2008-05-24 19:23:07 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\PC Tools
2008-05-24 10:39:45 0 d-------- C:\Programme\Steam
2008-05-22 18:53:11 413696 --a------ C:\WINNT\system32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32>
2008-05-22 18:53:11 110592 --a------ C:\WINNT\system32\OpenAL32.dll <Not Verified; Portions (C) Creative Labs Inc. and NVIDIA Corp.; Standard OpenAL(TM) Library>
2008-05-20 18:59:41 0 d-------- C:\Programme\MSI
2008-05-19 16:26:11 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Clickteam
2008-05-18 16:04:30 0 d-------- C:\Programme\Creative
2008-05-18 16:02:29 0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-16 15:26:50 0 d-------- C:\Programme\Google
2008-05-16 12:43:28 0 d-------- C:\Programme\No23 Recorder
2008-05-16 11:57:38 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Real
2008-05-16 11:57:30 0 d-a------ C:\Programme\Gemeinsame Dateien
2008-05-16 11:57:28 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-16 10:12:41 0 d-------- C:\Programme\HLSW
2008-05-15 15:53:23 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\ATI
2008-05-15 15:49:27 0 d-------- C:\Programme\ATI Technologies
2008-05-15 13:09:38 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Creative
2008-05-14 18:31:02 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\ICQ
2008-05-14 16:41:53 0 d-------- C:\Programme\ICQLite
2008-05-14 16:32:14 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Macromedia
2008-05-14 15:58:17 0 d-------- C:\Programme\PokerStars.NET
2008-05-14 15:54:15 0 d-------- C:\Programme\AVS4YOU
2008-05-14 15:54:02 0 d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-05-14 14:06:52 0 dr------- C:\Programme\Messenger
2008-05-14 14:06:38 0 dr------- C:\Programme\Movie Maker
2008-05-14 14:05:16 0 d-------- C:\Programme\Windows NT
2008-05-13 18:36:06 0 d-ah----- C:\Programme\WindowsUpdate
2008-05-13 17:29:08 23032 --a----c- C:\WINNT\system32\emptyregdb.dat
2008-05-10 13:51:24 0 d-------- C:\Programme\Graal
2008-05-10 13:51:24 0 d--hs---- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\.#
2008-05-10 13:44:04 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Hamachi
2008-05-07 13:09:41 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-07 13:09:06 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AdobeUM
2008-04-18 21:58:18 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_434.dat
2008-04-18 21:57:44 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_538.dat
2008-04-18 21:57:39 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_3a0.dat
2008-04-17 12:36:47 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_694.dat
2008-04-17 12:36:23 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_568.dat
2008-04-15 15:59:16 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_444.dat
2008-04-15 13:30:12 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_520.dat
2008-04-12 10:16:14 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AVS4YOU
2008-04-06 10:08:32 22016 --a------ C:\WINNT\system32\prospeed_bmp2jpg.dll
2008-04-05 12:01:10 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_310.dat
2008-04-04 21:53:16 47624 --a------ C:\WINNT\system32\wuwuninst.exe
2008-04-04 21:44:34 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\teamspeak2
2008-04-03 20:08:06 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\MAGIX
2008-04-03 20:07:41 0 d-------- C:\Programme\MAGIX
2008-04-03 20:07:29 0 d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-28 21:05:00 593920 -----n--- C:\WINNT\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-03-28 16:55:52 0 d-------- C:\Programme\Audio Converter
2008-03-28 11:51:29 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_688.dat
2008-03-25 16:29:12 0 d-------- C:\Programme\Firefly Studios
2008-03-25 16:08:07 1942 --ahs---- C:\WINNT\system32\KGyGaAvL.sys
2008-03-25 16:08:07 56 -rahs---- C:\WINNT\system32\B1F42E2F2A.sys
2008-03-25 16:07:44 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AntsSoft
2008-03-05 13:50:18 24879 --a------ C:\WINNT\res32dat3.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.2000 02:00]
"TRIXX"="C:\Programme\TRIXX\TRIXX.exe" [16.08.2005 13:18]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe" [29.03.2007 11:05]
"Synchronization Manager"="mobsync.exe" [14.04.2008 04:22 C:\WINNT\system32\mobsync.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [24.09.2006 03:24]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [09.07.2001 11:50]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" []
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [16.06.2004 07:03]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [16.06.2004 07:03]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [14.01.2004 03:10]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [15.04.2008 14:24]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [28.10.2005 22:05]
"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [20.03.2006 21:43]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [21.01.2008 12:17]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [16.05.2008 11:57]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]
"CTHelper"="CTHELPER.EXE" [20.02.2008 20:58 C:\WINNT\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [20.02.2008 20:58 C:\WINNT\system32\Ctxfihlp.exe]
"UserFaultCheck"="C:\WINNT\system32\dumprep 0 -u" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" []
"VoipCheapCom"="C:\Programme\VoipCheapCom\VoipCheapCom.exe" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe" []
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [02.12.2004 19:23]
"CTFMON.EXE"="C:\WINNT\system32\ctfmon.exe" [14.04.2008 04:22]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
"tscuninstall"=%systemroot%\system32\tscupgrd.exe
"SetDefaultMIDI"=MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy'

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.04.2008 03:38:16]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [27.10.2006 11:35:28]
MSI Wireless Utility.lnk - C:\Programme\MSI\Common\RaUI.exe [06.09.2006 14:43:28]
NkbMonitor.exe.lnk - C:\Programme\Nikon\PictureProject\NkbMonitor.exe [01.01.2006 20:55:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINNT\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc




-- End of Deckard's System Scanner: finished at 2008-05-25 00:07:36 ------------

hey,

hab das mitm cc cleaner gemacht un nachm neustart war er um einiges schneller un sound geht jetz au. außerdem kommt diese fehlermeldung " generci host process for win32 services" nicht mehr.

ich habe mit anti vir scan gemacht aber nix gefunden. ich denke es passt jetz wieder.

thx für eure hilfe wenn ich kaspersky online scan machen werde, meld ich mich nomal

greeZ

Silentrunners fehlt aber noch!

Hey, hier des von Silentrunners:


"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"CTFMON.EXE" = "C:\WINNT\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"TRIXX" = ""C:\Programme\TRIXX\TRIXX.exe" -s" ["Sapphire Technologies"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"AGEIA PhysX SysTray" = "C:\Programme\AGEIA Technologies\TrayIcon.exe" [null data]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" ["Advanced Micro Devices, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"
-> {HKLM...CLSID} = "Menüband"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"
-> {HKLM...CLSID} = "Tracking Shell Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"
-> {HKLM...CLSID} = "Menu Site"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"
-> {HKLM...CLSID} = "Menu Desk Bar"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"
-> {HKLM...CLSID} = "IShellFolderBand"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "&Links"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"
-> {HKLM...CLSID} = "Background Thumbnail Generator"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{450D8FBA-AD25-11D0-98A8-0800361B1103}" = "MyDocs Folder"
-> {HKLM...CLSID} = "Eigene Dateien"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MI1933~1\Office\OLKFSTUB.DLL" [MS]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINNT\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINNT\System32\dimsntfy.dll" [MS]
<<!>> wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINNT\system32\WPDShextAutoplay.exe" [MS]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]


Startup items in "Thomas Poppe" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Lexware Info Service" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"MSI Wireless Utility" -> shortcut to: "C:\Programme\MSI\Common\RaUI.exe -s" ["MSI Technology, Corp."]
"NkbMonitor.exe" -> shortcut to: "C:\Programme\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{D401C3A2-12EF-4D1D-A086-F3AB10B565BF}\
"ButtonText" = "Secret City"
"Exec" = "C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE" [null data]

{D9288080-1BAA-4BC4-9CF8-A92D743DB949}\
"ButtonText" = "Run IMVU"
"Exec" = "C:\Dokumente und Einstellungen\Thomas Poppe\Startmenü\Programme\IMVU\Run IMVU.lnk" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINNT\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
CSIScanner, CSIScanner, ""C:\Programme\PrevxCSI\prevxcsi.exe" /service" ["Prevx"]
Fastream IQ Reverse Proxy Engine, IQService, "C:\PROGRA~1\FASTRE~1\IQEngine.exe" ["Fastream Technologies"]
Web Update Wizard Service V4, WebUpdate4, "C:\WINNT\system32\WebUpdateSvc4.exe" ["Data Perceptions / PowerProgrammer"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i350\Driver = "CNMLM53.DLL" ["CANON INC."]
Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2008-05-31 12:58:14)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 42 seconds, including 11 seconds for message boxes)

Nochmal Kaspersky:

Bei Memory Scan >> Keine Infezierungen

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 13:46:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24122
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:21:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Kaspersky 2: Laufwerke

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 16:11:42
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 167605
Viren gefunden: 5
Infizierte Objekte gefunden: 5
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:11:37

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-05192008-194058.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{B9625E3A-FC76-4086-BC92-59F56795C1A8} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP31\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen



hab ich jetz manuell gelöscht

nur was ist des?: C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen