Deckard's System Scanner v20071014.68
Run by *** on 2008-06-04 08:42:28
Computer is in Normal Mode.
--------------

-- System Restore -----

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
10: 2008-06-04 06:42:33 UTC - RP477 - Deckard's System Scanner Restore Point
9: 2008-06-04 06:14:22 UTC - RP476 - Ad-Aware wird installiert
8: 2008-06-01 17:35:37 UTC - RP475 - Software Distribution Service 3.0
7: 2008-05-31 12:42:21 UTC - RP474 - Software Distribution Service 3.0
6: 2008-05-30 14:17:21 UTC - RP473 - Windows Internet Explorer 7 wurde installiert.


-- First Restore Point --
1: 2008-05-29 19:38:28 UTC - RP468 - Windows Live Messenger wird installiert


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as ***.exe) ------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:07, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://seek.yisou.com/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SVC plugin - {C12FC24B-A7B9-487F-9603-5481EBF00C6F} - C:\WINDOWS\odsagy.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.74\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.04\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.04\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://webcam03.lugano.ch/activex/AxisCamControl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - h**p://by136fd.bay136.hotmail.msn.com/activex/HMAtchmt.ocx
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 8115 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) --------

backup-20080526-220306-964 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
backup-20080526-220307-922 O2 - BHO: (no name) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
backup-20080526-220307-171 O2 - BHO: (no name) - {62EED7C6-9F02-42f9-B634-98E2899E147B} - (no file)
backup-20080526-220307-910 O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\urqnnno.dll
backup-20080526-220307-473 O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - (no file)
backup-20080526-220307-357 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
backup-20080526-220307-292 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
backup-20080526-220307-961 O4 - HKCU\..\Run: [antispy] C:\Programme\IEAntiVirus\ANTIVIRUS.exe
backup-20080526-220812-461 O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\urqnnno.dll
backup-20080526-223932-994 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
backup-20080526-223932-440 O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
backup-20080526-223932-970 O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
backup-20080526-223933-594 O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
backup-20080526-223933-156 O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
backup-20080526-224842-360 O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
backup-20080528-211423-557 O2 - BHO: {7af2de21-6ef2-a08b-4624-5386404b1c25} - {52c1b404-6835-4264-b80a-2fe612ed2fa7} - C:\WINDOWS\system32\bcmhsqdb.dll (file missing)
backup-20080528-211423-412 O2 - BHO: IE - {616D534C-3CA8-43AB-B439-618F850F1D2B} - C:\WINDOWS\apsagy.dll (file missing)
backup-20080528-211423-192 O17 - HKLM\System\CCS\Services\Tcpip\..\{2C0D3CD0-613D-42C6-B1BA-5C97D71501BF}: NameServer = 85.255.115.53,85.255.112.217
backup-20080528-211423-741 O17 - HKLM\System\CCS\Services\Tcpip\..\{2E1ACCC7-6B9F-4559-BE66-36FB0D40491D}: NameServer = 85.255.115.53,85.255.112.217
backup-20080528-211423-556 O17 - HKLM\System\CCS\Services\Tcpip\..\{90A32034-E0C3-4B2E-A251-79F513396827}: NameServer = 85.255.115.53,85.255.112.217
backup-20080528-211423-378 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.217
backup-20080528-211423-645 O17 - HKLM\System\CS1\Services\Tcpip\..\{2C0D3CD0-613D-42C6-B1BA-5C97D71501BF}: NameServer = 85.255.115.53,85.255.112.217
backup-20080528-211423-844 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.217
backup-20080528-211423-513 O17 - HKLM\System\CS2\Services\Tcpip\..\{2C0D3CD0-613D-42C6-B1BA-5C97D71501BF}: NameServer = 85.255.115.53,85.255.112.217
backup-20080528-211423-507 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.53 85.255.112.217
backup-20080528-211423-261 O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll (file missing)

-- File Associations ----------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------

R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 UBHelper - c:\windows\system32\drivers\ubhelper.sys
R2 int15.sys - c:\acer\empowering technology\erecovery\int15.sys
R2 STEC3 - c:\windows\system32\stec3.sys <Not Verified; AntiCracking; SVKP driver for NT>
R3 CLEDX (Team H2O CLEDX service) - c:\windows\system32\drivers\cledx.sys <Not Verified; Team H2O; CLEDX>
R3 NTIDrvr (Upper Class Filter Driver) - c:\windows\system32\drivers\ntidrvr.sys <Not Verified; NewTech Infosystems, Inc.; >

S3 ASPI (Advanced SCSI Programming Interface Driver) - c:\windows\system32\drivers\aspi32.sys <Not Verified; Adaptec; Adaptec's ASPI Layer>
S3 C-Dilla - c:\windows\system32\drivers\cdant.sys (file missing)
S3 DMSKSSRh - c:\dokume~1\***\lokale~1\temp\dmskssrh.sys (file missing)
S3 MagixASIODrv (MAGIX_ASIO_BoostDriver) - c:\programme\magix\samplitude_se_no9\mxasio.sys <Not Verified; MAGIX AG; MAGIX ASIO BoostDriver>
S3 SNPSTD3 (USB PC Camera (SNPSTD3)) - c:\windows\system32\drivers\snpstd3.sys <Not Verified; ; PC Camera driver>
S3 sony_ssm.sys - c:\dokume~1\***\lokale~1\temp\sony_ssm.sys (file missing)
S3 SymIM (Symantec Network Security Intermediate Filter Service) - c:\windows\system32\drivers\symim.sys (file missing)
S3 SymIMMP - c:\windows\system32\drivers\symim.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 FolderSize (Folder Size) - c:\programme\foldersize\foldersizesvc.exe <Not Verified; Brio; Folder Size for Windows>
R2 UserAccess7 (SecuROM User Access Service (V7)) - c:\windows\system32\uaservice7.exe

S2 Automatisches LiveUpdate - Scheduler - "c:\programme\symantec\liveupdate\aluschedulersvc.exe" (file missing)


-- Device Manager: Disabled ----------

No disabled devices found.


-- Scheduled Tasks ----------------------

2008-04-19 07:53:50 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2007-08-15 14:03:48 418 --a------ C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job


-- Files created between 2008-05-04 and 2008-06-04 --------------

2008-06-04 08:14:26 0 d-------- C:\Programme\Lavasoft
2008-06-04 08:00:10 0 d--hs---- C:\FOUND.000
2008-06-03 19:55:23 251904 --a------ C:\WINDOWS\odsagy.dll
2008-06-03 19:55:22 53 --a------ C:\smp.bat
2008-05-29 11:25:01 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-28 23:40:08 0 d-------- C:\Programme\Safari
2008-05-28 21:15:03 68096 --a------ C:\WINDOWS\zip.exe
2008-05-28 21:15:03 49152 --a------ C:\WINDOWS\VFind.exe
2008-05-28 21:15:03 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-05-28 21:15:03 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-05-28 21:15:03 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-05-28 21:15:03 98816 --a------ C:\WINDOWS\sed.exe
2008-05-28 21:15:03 80412 --a------ C:\WINDOWS\grep.exe
2008-05-28 21:15:03 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-05-27 22:04:23 0 d-------- C:\Programme\Image-Line
2008-05-26 21:50:22 0 d-------- C:\Programme\Trend Micro
2008-05-26 13:58:55 0 d-------- C:\Programme\Avira
2008-05-25 19:57:30 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-13 03:53:16 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 03:50:16 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-05-13 03:50:16 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-05-13 03:50:08 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-05-13 03:50:08 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-05-13 03:50:08 831488 --a------ C:\WINDOWS\system32\divx_xx0a.dll
2008-05-13 03:50:08 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-05-13 03:50:06 682496 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-05-13 03:49:02 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-09 15:00:39 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll <Not Verified; Propellerhead Software AB; REX SDK>
2008-05-04 00:12:52 664 --a------ C:\WINDOWS\system32\d3d9caps.dat


-- Find3M Report -------------------------

2008-05-29 11:25:18 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-27 21:53:28 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Morphine
2008-05-19 23:57:42 41472 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\RBShell400.dll
2008-05-19 23:57:42 75776 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\rbqt450.DLL
2008-05-19 23:57:42 64512 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\rbap450.dll
2008-05-19 23:57:40 36352 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSRegistryPlugin1636.dll
2008-05-19 23:57:40 32256 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSProcessPlugin1636.dll
2008-05-19 23:57:40 33280 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSEncryptPlugin1636.dll
2008-05-19 23:57:40 52224 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EHZComp.dll
2008-05-19 23:57:40 19968 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EHMD5.dll
2008-05-19 23:57:40 18432 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EHEncrypt.dll
2008-05-19 23:57:38 26112 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSRegistrationPlugin1636.dll
2008-05-19 23:57:38 29184 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSRectPlugin1635.dll
2008-05-19 23:57:38 49664 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSQuickTimePlugin1636.dll
2008-05-19 23:57:38 54272 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSQTImporterPlugin1635.dll
2008-05-19 23:57:38 25088 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSPluginVersionPlugin1635.dll
2008-05-19 23:57:38 37376 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSPictureMacPlugin1635.dll
2008-05-19 23:57:36 51712 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSWinPlugin1635.dll
2008-05-19 23:57:36 26624 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSUsernamePlugin1635.dll
2008-05-19 23:57:36 26112 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSResStreamPlugin1635.dll
2008-05-19 23:57:36 53760 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSPicturePlugin1635.dll
2008-05-19 23:57:36 32256 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSIconPlugin1635.dll
2008-05-19 23:57:34 48128 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSResPlugin1635.dll
2008-05-19 23:57:34 29184 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSMemoryPlugin1635.dll
2008-05-19 23:57:34 41984 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSMainPlugin1635.dll
2008-05-19 23:57:34 36352 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSFolderitemsCreatePlugin1635.dll
2008-05-19 23:56:52 28672 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MBSMacOSXPlugin1635.dll
2008-05-17 18:05:16 115684 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-05-09 15:00:28 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Propellerhead Software
2008-05-03 21:44:12 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\IMVU
2008-05-03 21:44:04 0 d-------- C:\Programme\IMVU
2008-05-02 16:29:30 0 d-------- C:\Programme\4Movy DVD Video Converter
2008-04-29 13:11:44 0 d-------- C:\Programme\FLV Player
2008-04-28 12:10:40 5104 --a------ C:\WINDOWS\mozver.dat
2008-04-26 20:52:22 0 d-------- C:\Programme\ASIO4ALL v2
2008-04-26 20:50:14 0 d-------- C:\Programme\Outsim
2008-04-16 21:02:44 0 d-------- C:\Programme\iPod
2008-04-16 21:02:22 0 d-------- C:\Programme\iTunes
2008-03-19 09:59:28 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; >
2008-03-06 07:59:42 0 --a------ C:\WINDOWS\nsreg.dat


-- Registry Dump -------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C12FC24B-A7B9-487F-9603-5481EBF00C6F}]
03.06.2008 19:55 251904 --a------ C:\WINDOWS\odsagy.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [04.08.2004 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [04.08.2004 05:00]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [16.11.2005 17:00]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [26.07.2006 13:48]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [08.07.2006 11:49]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [30.03.2008 10:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 11:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

C:\Dokumente und Einstellungen\***\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [16.03.2005 19:16:50]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
WG111v2 Smart Wizard Wireless Setting.lnk - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [21.06.2006 18:43:13]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

*Newly Created Service* - AAWSERVICE
*Newly Created Service* - INT15.SYS



-- End of Deckard's System Scanner: finished at 2008-06-04 08:46:22 --

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
------------------------------

-- System Information --------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Celeron(R) CPU 3.06GHz
Percentage of Memory in Use: 46%
Physical Memory (total/avail): 511.48 MiB / 275.31 MiB
Pagefile Memory (total/avail): 1250.46 MiB / 920.96 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1920.09 MiB

C: is Fixed (FAT32) - 90.45 GiB total, 13.42 GiB free.
D: is Fixed (FAT32) - 90.94 GiB total, 74.43 GiB free.
E: is CDROM (No Media)
F: is Removable (No Media)
G: is Removable (No Media)
H: is Removable (No Media)
I: is Removable (No Media)

\\.\PHYSICALDRIVE0 - ST3200826AS - 186.31 GiB - 3 partitions
\PARTITION0 - Unknown - 4.88 GiB
\PARTITION1 (bootable) - Unknown - 90.47 GiB - C:
\PARTITION2 - Unknown - 90.96 GiB - D:

\\.\PHYSICALDRIVE2 - Generic USB CF Reader USB Device

\\.\PHYSICALDRIVE4 - Generic USB MS Reader USB Device

\\.\PHYSICALDRIVE1 - Generic USB SD Reader USB Device

\\.\PHYSICALDRIVE3 - Generic USB SM Reader USB Device



-- Security Center ---------

AUOptions is set to notify before download.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.

AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH) Outdated
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH) Disabled
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe:*:Enabled:RealPlayer"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\***\\Deniz\\Trackmania\\TrackMania Sunrise Extreme Demo\\TmSunriseExtremeDemo.exe"="C:\\Dokumente und Einstellungen\\Devil Jin\\Desktop\\Deniz\\Deniz\\Trackmania\\TrackMania Sunrise Extreme Demo\\TmSunriseExtremeDemo.exe:*:Enabled:TmSunriseExtremeDemo"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\***\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Dokumente und Einstellungen\\Devil Jin\\Desktop\\Deniz\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\***\\***\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Dokumente und Einstellungen\\Devil Jin\\Desktop\\Deniz\\Deniz\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\WINDOWS\\system32\\winver.exe"="C:\\WINDOWS\\system32\\winver.exe:*:Enabled:winver"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"


-- Environment Variables ---------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.6.0_01\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=ACER
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LANG=de
LOGONSERVER=\\ACER
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\Gemeinsame Dateien\Adobe\AGL;C:\Programme\QuickTime\QTSystem;;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0409
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.6.0_01\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
USERDOMAIN=ACER
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS


-- User Profiles -----------------------

*** (admin)
Administrator (new local, admin)


-- Add/Remove Programs -----------------

--> C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}
Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Reader 7.0 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Adobe Shockwave Player --> C:\WINDOWS\system32\MACROMED\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~1\INSTALL.LOG
Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
AnswerWorks Runtime --> C:\WINDOWS\IsUninst.exe -fC:\Programme\WexTech\AnswerWorks\Uninst.isu
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ASIO4ALL --> C:\Programme\ASIO4ALL v2\uninstall.exe
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
Collab --> C:\Programme\Image-Line\Collab\uninstall.exe
Deckadance --> C:\Programme\VstPlugins\Deckadance\uninstall.exe
DeepBurner v1.8.0.224 --> "C:\Programme\Astonsoft\DeepBurner\Uninstall.exe" "C:\Programme\Astonsoft\DeepBurner\install.log"
Deinstallation der Arcor Online Software --> "C:\Programme\ArcorOnline\unins000.exe"
DivX Codec --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter --> C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FileZilla (remove only) --> "C:\Programme\FileZilla\uninstall.exe"
FL Studio 8 --> C:\Programme\Image-Line\FL Studio 8\uninstall.exe
FLV Player 2.0, build 24 --> C:\Programme\FLV Player\uninst.exe
Folder Size for Windows --> MsiExec.exe /I{FC8D21C8-7B29-4104-ADB0-FEE9CA1C7922}
GhostMouse 2.0 --> C:\WINDOWS\uninst.exe -fC:\GMouse20\DeIsL1.isu -cC:\GMouse20\_ISREG32.DLL
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HTML-Kit --> "C:\Programme\Chami\HTML-Kit\unins000.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
IL Download Manager --> C:\Programme\Image-Line\Downloader\uninstall.exe
iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
KEYS Alpha --> C:\Programme\VstPlugins\UninstalAlpha.exe
Macromedia Shockwave Player --> C:\WINDOWS\system32\MACROMED\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~1\INSTALL.LOG
MAGIX music maker 2005 --> C:\MAGIX\mm2005\instslct.exe
MAGIX Music Manager 2006 (US) --> C:\MAGIX\Music_Manager_2006\instslct.exe
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live --> "C:\Programme\Messenger Plus! Live\Uninstall.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Windows Journal Viewer --> MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA8}
Morphine --> C:\Programme\Image-Line\Morphine\uninstall.exe
Mozilla Firefox (2.0.0.12) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN --> C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
MUSTEK 1200 CU PLUS v1.0 --> C:\WINDOWS\twain_32\1200CU~1\UNINST.EXE
MUSTEK 1200 CU PLUS v1.2 --> C:\WINDOWS\twain_32\1200CU~1\UNINST.EXE
NTI Backup NOW! 4 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{385979FE-DC4F-4140-8EAD-A59625000D72} /l1031 BUN4
NTI CD & DVD-Maker --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1031 CDM7
OpenOffice.org 2.0 --> MsiExec.exe /I{33D6723B-DE6B-4E86-A6BC-CD1F3E42DD26}
Pack Vista Inspirat 2 1.0 --> C:\WINDOWS\BricoPacks\Vista Inspirat 2\Remove.exe
Paint.NET v3.30 --> MsiExec.exe /X{FF09A6A1-4DE5-467D-AA26-EF18C0EA4DAB}
phase5 --> "C:\Programme\phase5\uninstall.exe"
PoiZone --> C:\Programme\Image-Line\PoiZone\uninstall.exe
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Remedy --> C:\PROGRA~1\KEYTOS~1\REMEDY\UNWISE.EXE C:\PROGRA~1\KEYTOS~1\REMEDY\INSTALL.LOG
Safari --> MsiExec.exe /X{40589552-3892-409E-B92C-9F5032A4B2F0}
Samplitude SE No.9 9.1.1.1 (D) --> C:\Programme\MAGIX\Samplitude_SE_No9\instslct.exe
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shockwave --> C:\WINDOWS\system32\MACROMED\SHOCKW~2\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~2\Install.log
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
SiS 900 PCI Fast Ethernet Adapter Driver --> C:\Progra~1\SiSLan\Uninst.exe
SiSAGP driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DC226AC9-0314-496C-BE6A-B6A132628466}\setup.exe" -l0x7
SyncroSoft Emu (Remove only) --> C:\Programme\SyncroSoft\Pos\H2O\Uninst.exe
Syncrosofts Lizenz Kontrolle --> C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
Text-To-Speech-Runtime --> MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
Toxic Biohazard --> C:\Programme\Image-Line\Toxic Biohazard\uninstall.exe
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
USB PC CAM-168 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ECD03DA7-5952-406A-8156-5F0C93618D1F}\Setup.exe" -l0x9
Virtuadrum --> MsiExec.exe /I{C6D081A5-163C-4113-82C2-8EDCEBE37AB1}
WG111v2 Configuration Utility --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E0F252A6-DE85-4E93-A93B-DFC3537B3965}\setup.exe" -l0x7 REMOVE -removeonly
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
WWAYM - NWBass V1.1 --> "C:\WINDOWS\lsb_un20.exe" /C=UC /N=WWAYM - NWBass V1.1
WWAYM - NWBass V2 --> "C:\WINDOWS\lsb_un20.exe" /C=UC /N=WWAYM - NWBass V2
WWAYM - NWEQ V1.21 --> "C:\WINDOWS\lsb_un20.exe" /C=UC /N=WWAYM - NWEQ V1.21
Xvid 1.1.2 final uninstall --> "C:\Programme\Xvid\unins000.exe"


-- Application Event Log --------------

Event Record #/Type2802 / Error
Event Submitted/Written: 06/04/2008 08:45:36 AM
Event ID/Source: 11 / crypt32
Event Description:
Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <h**p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.
.

Event Record #/Type2801 / Warning
Event Submitted/Written: 06/04/2008 08:45:01 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Programme\Trend Micro\HijackThis\test.com.exe

Event Record #/Type2800 / Warning
Event Submitted/Written: 06/04/2008 08:43:46 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Programme\Trend Micro\HijackThis\test.com.exe

Event Record #/Type2799 / Warning
Event Submitted/Written: 06/04/2008 08:42:07 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Programme\Trend Micro\HijackThis\test.com.exe

Event Record #/Type2798 / Warning
Event Submitted/Written: 06/04/2008 08:41:36 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Programme\Trend Micro\HijackThis\test.com.exe



-- Security Event Log --------

No Errors/Warnings found.


-- System Event Log ----------

Event Record #/Type89509 / Error
Event Submitted/Written: 06/04/2008 08:01:06 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "Automatisches LiveUpdate - Scheduler" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3

Event Record #/Type89506 / Error
Event Submitted/Written: 06/04/2008 08:00:23 AM
Event ID/Source: 1002 / Dhcp
Event Description:
Die IP-Adresslease 192.168.1.33 für die Netzwerkkarte mit der Netzwerkadresse 0016EC1A387D wurde durch
den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).

Event Record #/Type89495 / Warning
Event Submitted/Written: 06/03/2008 07:45:30 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type89494 / Error
Event Submitted/Written: 06/03/2008 06:17:02 PM
Event ID/Source: 1002 / Dhcp
Event Description:
Die IP-Adresslease 192.168.1.33 für die Netzwerkkarte mit der Netzwerkadresse 0016EC1A387D wurde durch
den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).

Event Record #/Type89492 / Warning
Event Submitted/Written: 06/03/2008 06:16:54 PM
Event ID/Source: 1003 / Dhcp
Event Description:
Der Computer konnte die Netzwerkadresse, die durch den DHCP-Server für die
Netzwerkkarte mit der Netzwerkadresse 0016EC1A387D zugeteilt wurde, nicht erneuern. Der
folgende Fehler ist aufgetreten:
%%1223.
Es wird weiterhin im Hintergrund versucht, eine Adresse vom
Netzwerkadressserver (DHCP) zu erhalten.



-- End of Deckard's System Scanner: finished at 2008-06-04 08:46:22 --

Die extra.txt-Datei war auch zu groß (auch für einen Anhang), deshalb erst die 1. Hälfte, dann der Rest.

Soll ich

Zitat:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://seek.yisou.com/srchcust.htm

und

Zitat:

O2 - BHO: SVC plugin - {C12FC24B-A7B9-487F-9603-5481EBF00C6F} - C:\WINDOWS\odsagy.dll

sofort löschen?

Hi,

Bitte folgende Files prüfen (Pfad richtig anpassen, auch im Avengerscript, ist nicht klar ob sie noch da ist; Sollte ein Rootkit sein!):

Zitat:

c:\dokume~1\***\lokale~1\temp\dmskssrh.sys

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare
 
Files to delete:
C:\WINDOWS\odsagy.dll
C:\Programme\BearShare\BearShare.exe
c:\dokume~1\***\lokale~1\temp\dmskssrh.sys

Folders to delete:
C:\Programme\BearShare
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
Boote in den abgesicherten Modus (F8 beim Booten):
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: SVC plugin - {C12FC24B-A7B9-487F-9603-5481EBF00C6F} - C:\WINDOWS\odsagy.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://seek.yisou.com/srchcust.htm
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O24 - Desktop Component 0: (no name) - (no file)
         

Danach mit CCleaner die Registry putzen:
CCleaner - CCleaner 2.0
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu.

Download Registry Search by Bobbi Flekman
RegSearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

DMSKSSRh

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Chris

Avenger-Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\odsagy.dll" deleted successfully.

Error: file "C:\Programme\BearShare\BearShare.exe" not found!
Deletion of file "C:\Programme\BearShare\BearShare.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\DMSKSSRh.sys" not found!
Deletion of file "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\DMSKSSRh.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\BearShare" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hallo,

Du hast vergessen den Pfad für
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\DMSKSSRh.sys
vergessen anzupassen (die *** gegen die richtige Pfadangabe ersetzen)...

Bitte daher noch mal nur mit dieser Löschanweisung für Avenger wiederholen:
Files to delete:
c:\dokume~1\***\lokale~1\temp\dmskssrh.sys

chris

Tag,
wie/wo passe ich denn den Pfad an? Ich hatte einfach den vollständigen Pfad ins "input" gesetzt...

Hi,

Du hast zum anomysieren wohl die *** in den Pfad gesetzt, dafür müssen jetzt die richtigen angaben rein, d.h. Du kopierst den String (äh, die Zeile) in das Eingabefeld vom Avenger und änderst dann die *** in den richtigen Wert (den kenne ich leider nicht)...

Sonst lass mal Bobbi Flekman (siehe post weiter unten) suchen, vielleicht bekommen wir dann den richtigen Pfad...

chris

Alles klar;
habe Bobbi durchsuchen lassen und hab's mit Avenger versucht zu löschen, aber anscheinend existiert die Datei nicht mehr.

Heißt das, dass mein PC endlich frei von den Plagen ist??

Hi,

bitte poste das Ergebnis von Bobbi, damit wir die Einträge aus der Registry löschen können (das Teil ist immer noch eingetragen);
Alternativ (wenn Du Dich mit dem Regedit auskennst, kannst Du sie auch per Hand rauslöschen).

Sonst erkenne ich aktuell erst mal nichts mehr...

chris

Hier kommt Bobbi:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.06.2008 10:30:25 for strings:
; 'dmskssrh'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,44,00,45,00,56,00,49,00,4c,00,4a,00,7e,\
00,31,00,5c,00,4c,00,4f,00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,\
65,00,6d,00,70,00,5c,00,44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,\
00,73,00,79,00,73,00,00,00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum]
"0"="Root\\LEGACY_DMSKSSRH\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,44,00,45,00,56,00,49,00,4c,00,4a,00,7e,\
00,31,00,5c,00,4c,00,4f,00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,\
65,00,6d,00,70,00,5c,00,44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,\
00,73,00,79,00,73,00,00,00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,44,00,45,00,56,00,49,00,4c,00,4a,00,7e,\
00,31,00,5c,00,4c,00,4f,00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,\
65,00,6d,00,70,00,5c,00,44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,\
00,73,00,79,00,73,00,00,00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum]
"0"="Root\\LEGACY_DMSKSSRH\\0000"

; End Of The Log...

Hi,

bitte ein gutes Backup machen (Registry ;o)!
(Das ist mein Ernst, wenn was schief geht, steht eventuell die Kiste!)


Kopiere folgende Daten in eine Textdatei, die Du mit dem Editor anlegst:

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

;Script löscht den Service DMSKSSRh aus allen Controll sets komplett!
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DMSKSSRh]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]
         

Speichere die Datei auf dem Desktop unter weg.reg, Doppelklick, Du wirst gefragt "Registry zusammenführen" -> ja!

Danach noch mal Bobbi suchen lassen, jetzt sollte der Treiber komplett im Nirvana sein (und Dein Rechner hoffentlich nicht)...

Danach bitte auch noch ein neues HJ-Log...

chris

So, ich bin wieder da. Und ich würde gerne noch etwas anderes sagen, bevor ich noch einmal verzweifle, weil ich nicht weiß, wie ich ein BackUp machen soll
Also, ich weiß nicht, was hier auf dem PC geschehen ist - in der zwischenzeit wo ich weg war - aber es taucht schon wieder eine Meldung auf: (jedes mal, wenn ich ein Programm oder den I-net-Browser öffne)
Bsp:
msnmsgr.exe - Datei beschädigt
Die Datei oder das Verzeichnis \Dokumente und Einstellungen\usw. ist beschädigt und nicht lesbar. Führen Sie CHKDSK aus.

Hier noch einmal mein HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:55:34, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration

Utility\RtlWake.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Search Page =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet

Explorer\Main,Start Page =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-

B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-

D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01

\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm -

{9030D464-4C02-4ABF-8ECC-5164760863C6} -

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows

Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1

\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32

\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering

Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper]

"C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite]

"C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32

\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite]

C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless

Setting.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool...

- C:\Programme\MP3 Player Utilities 3.74

\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... -

C:\Programme\MP3 Player Utilities 4.04

\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live

Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: MediaManager tool grab

multimedia file - C:\Programme\MP3 Player Utilities

4.04\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5

-00401C608501} - C:\Programme\Java\jre1.6.0_01

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-

A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-

4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7

-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E

-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} -

h**p://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

h**p://fpdownload2.macromedia.com/get/shockwave/cabs/fla

sh/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) -

Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems -

C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus

Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus

Guard (AntiVirService) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. -

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc.

- C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler -

Unknown owner -

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

(file missing)
O23 - Service: Folder Size (FolderSize) - Brio -

C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7)

(UserAccess7) - Unknown owner - C:\WINDOWS\system32

\UAService7.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 7173 bytes