Anti Virus 2008 auf meinem PC

LipToN · 10.09.2008, 10:31

Hallo Liebe User,

wie die Überschrift schon sagt, habe ich mir unerklärlicherweise einen Virus gefangen und seit dem habe ich ein Programm, welches sich AntiVirusXP 2008 nennt.

Folgende veränderungen spüre ich:

- Blauer Desktophintergrund mit einer großen "Warning"meldung
- Langsames Internet
- Wenn ich bei google auf einen link klicke, führt mich dies zu dubiosen Homepages

Ansonsten kann ich weiterhin arbeiten. Alle Programme (Word, Outlook, Scanner etc.) funktionieren problemlos.

Kann mir jemand helfen und definitiv sagen, ob man dieses Programm wieder los wird, da ich es natürlich nicht behalten möchte

Im internet wird so viel erzählt und geschrieben, doch vertraue ich diesbezüglich nur einer Meinung eines Trojaner Board Users.

Über eine schnelle Antwort wäre ich euch sehr dankbar.

Viele Liebe Grüße
Mathias

LipToN · 10.09.2008, 11:35

Hallo,

anbei eine Anmerkung:

Es ist nicht möglich, dass ich das Windows neue draufspiele, da dass sehr schwierig und Zeitaufwendig war (netzwerk etc.). Es wäre allerdings möglich, dass ich es wieder auf Null setze (Anfangseinstellungen) weiss aber nicht wie das geht. Ich habe auf jeden Fall kaum etwas auf meiner Festplatte gespeichert, nur im Netzwerk. Die Dinge die ich dann neu installieren müsste, hätte ich in 30 minuten wieder drauf.

Ist so etwas möglich oder kennt jemand ein Programm dass alles wieder herstellt oder das Programm entfernt? Oder kann mir überhaupt helfen?

Vielen Dank und Grüße
Mathias

Chris4You · 10.09.2008, 12:27

Hi,

bitte HJ-Log gemäß der Signatur und den Boardregeln;
MAM installieren, updaten und laufen/bereinigen lassen, Log posten.

MAM (Malwarebytes Antimalware).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

chris

LipToN · 10.09.2008, 12:53

Huhu,

danke für die schnelle Nachricht. Anbei die HijackThis Log. Die Log von MAM kommt gleich !

Grüße

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:23, on 10.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\pphcngcj0e529.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\OLXTools\OLXTeamOutlook\OLXTOWStandBy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\twain_32\escndv\escndv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe

--
End of file - 7028 bytes

Chris4You · 10.09.2008, 13:21

Hi,

Dein Problem dürfte hier liegen, mal sehen ob MAM es erwischt:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\pphcngcj0e529.exe
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das gesamte Ergebnis mit Filename

chris

LipToN · 10.09.2008, 13:22

Hallo,

anbei die Logdatei von MAM.

Danke und Grüße

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 2

10.09.2008 14:21:00
mbam-log-2008-09-10 (14-20-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 97168
Laufzeit: 18 minute(s), 37 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 12
Infizierte Dateien: 23

Infizierte Speicherprozesse:
C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcjgcj0e529 (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0047387.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhcjgcj0e529\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhcjgcj0e529\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phcngcj0e529.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphcngcj0e529.exe (Trojan.FakeAlert) -> No action taken.

LipToN · 10.09.2008, 13:26

Zitat:

Zitat von Chris4You

Hi,

Dein Problem dürfte hier liegen, mal sehen ob MAM es erwischt:

Bitte folgende Files prüfen:

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das gesamte Ergebnis mit Filename

chris

Hy chris,

die Homepage geht bei mir nicht bzw. wird nicht gefunden

aber andere wie z.b. diese gehen!

Grüße

Chris4You · 10.09.2008, 13:37

Hi,

bitte MAM reinigen lasse und combofix durchführen, Log posten (inkl. ein neues HJ-Log; diesmal bitte Log anpassen, keine ausführbaren Links etc.):

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

LipToN · 10.09.2008, 15:04

Hallo,

das war ein Drama

Aber hier die Combofix Log:

ComboFix 08-09-05.14 - sprenker2 2008-09-10 15:33:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.525 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\sprenker2\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\rhcjgcj0e529
C:\Dokumente und Einstellungen\sprenker2\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\sprenker2\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\sprenker2\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\sprenker2\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\sprenker2\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\sprenker2\Favoriten\Spyware&Malware Protection.url
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\7.exe
C:\Programme\PCHealthCenter\sc.html
C:\WINDOWS\erkn.exe
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\aHiilUvw.ini
C:\WINDOWS\system32\aHiilUvw.ini2
C:\WINDOWS\system32\dbddlamv.dll
C:\WINDOWS\system32\fccbCtSI.dll
C:\WINDOWS\system32\ggumljoc.dll
C:\WINDOWS\system32\phcngcj0e529.bmp
C:\WINDOWS\system32\pmnmnOHb.dll
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\vmalddbd.ini
C:\WINDOWS\system32\wvUliiHa.dll
C:\WINDOWS\system32\x64
C:\WINDOWS\system32\ylxziz.dll
C:\WINDOWS\system32\YUR11.exe
C:\WINDOWS\system32\YUR12.exe
C:\WINDOWS\system32\YUR13.exe
C:\WINDOWS\system32\YUR2.exe
C:\WINDOWS\system32\YUR3.exe
C:\WINDOWS\system32\YURF.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-10 bis 2008-09-10 ))))))))))))))))))))))))))))))
.

2008-09-10 14:50 . 2008-09-08 17:32: VIRUS ALERT! 3,262 --a------ C:\WINDOWS\system32\2.ico
2008-09-10 14:46 . 2008-09-10 15:58: VIRUS ALERT! <DIR> d-------- C:\Programme\PCHealthCenter
2008-09-10 14:46 . 2008-09-10 15:14: VIRUS ALERT! <DIR> d-------- C:\Programme\MSA
2008-09-10 14:46 . 2008-09-08 16:50: VIRUS ALERT! 165,888 --a------ C:\WINDOWS\system32\MSa.cpl
2008-09-10 14:46 . 2008-09-08 17:32: VIRUS ALERT! 32,768 --a------ C:\WINDOWS\system32\YUR10.VIR
2008-09-10 14:46 . 2008-09-08 17:32: VIRUS ALERT! 3,262 --a------ C:\WINDOWS\system32\1.ico
2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 364,544 --a------ C:\WINDOWS\vmgspntbter.dll
2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 335,872 --a------ C:\WINDOWS\dtseqrxk.dll
2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 229,376 --a------ C:\WINDOWS\mgxfebsq.dll
2008-09-10 14:45 . 2008-09-10 09:20: VIRUS ALERT! 192,512 --a------ C:\WINDOWS\fqbewlna.dll
2008-09-10 14:45 . 2008-09-10 09:21: VIRUS ALERT! 135,168 --a------ C:\WINDOWS\mqgldfvo.exe
2008-09-10 13:57 . 2008-09-10 13:57: VIRUS ALERT! <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-10 13:57 . 2008-09-10 00:04: VIRUS ALERT! 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-10 13:57 . 2008-09-10 00:03: VIRUS ALERT! 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-10 11:42 . 2008-09-10 11:42: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Malwarebytes
2008-09-10 11:41 . 2008-09-10 11:41: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-10 09:28 . 2008-09-10 09:28: VIRUS ALERT! <DIR> d-------- C:\Programme\rhcjgcj0e529
2008-09-10 09:28 . 2008-09-10 11:21: VIRUS ALERT! 106,496 --a------ C:\WINDOWS\system32\2.tmp
2008-09-10 09:24 . 2008-09-10 09:24: VIRUS ALERT! <DIR> d-------- C:\Programme\AVG
2008-09-10 09:24 . 2008-09-10 12:10: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino3.ico
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino2.ico
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 88,878 --a------ C:\WINDOWS\system32\casino1.ico
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 14,848 --a------ C:\WINDOWS\system32\tdsspopup.dll
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup3.url
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup2.url
2008-09-10 09:18 . 2008-09-10 09:18: VIRUS ALERT! 120 --a------ C:\WINDOWS\system32\tdsspopup1.url
2008-08-17 08:37 . 2008-05-01 16:30: VIRUS ALERT! 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 15:40 . 2008-08-14 15:40: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileOpen
2008-08-14 15:40 . 2008-08-14 15:40: VIRUS ALERT! <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 13:59 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons
2008-09-10 11:55 --------- d-----w C:\Programme\Avira
2008-09-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-10 10:10 --------- d-----w C:\Programme\BOINC
2008-09-10 07:39 --------- d-----w C:\Programme\Opera
2008-09-09 08:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileZilla
2008-08-20 06:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\gtk-2.0
2008-08-19 13:30 --------- d-----w C:\Programme\LBBW_LIMOSV
2008-07-30 08:41 --------- d-----w C:\Programme\VideoLAN
2008-07-28 08:54 85,440 ----a-w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-24 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-07-24 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-24 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-07-17 08:38 --------- d-----w C:\Programme\Azureus
2008-07-17 08:37 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Azureus
2008-07-14 12:55 --------- d-----w C:\Programme\Hewlett-Packard
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F6EE5875-4854-4408-B12D-3290883D966E}]
2008-09-10 09:20: VIRUS ALERT! 364544 --a------ C:\WINDOWS\vmgspntbter.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9F342F63-3E27-4BB6-8A01-D7C2C6FEB055}"= "C:\WINDOWS\fqbewlna.dll" [2008-09-10 192512]

[HKEY_CLASSES_ROOT\clsid\{9f342f63-3e27-4bb6-8a01-d7c2c6feb055}]
[HKEY_CLASSES_ROOT\fqbewlna.1]
[HKEY_CLASSES_ROOT\TypeLib\{91DCF0F9-6943-48A2-9B54-30201F7253A0}]
[HKEY_CLASSES_ROOT\fqbewlna]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
"NoDispCPL"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoStartMenuMorePrograms"= 1 (0x1)
"NoSetFolders"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"mgxfebsq"= {D92C4C3D-8DD1-435A-A4E2-A84918ADDCCE} - C:\WINDOWS\mgxfebsq.dll [2008-09-10 229376]
"dtseqrxk"= {29C8E233-DD5E-4802-9385-0D154ABD307B} - C:\WINDOWS\dtseqrxk.dll [2008-09-10 335872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ylxziz.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\SMINST\\Scheduler.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office10\\OUTLOOK.EXE"=
"C:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
R2 OLXConvert Agent;OLXConvert Agent;C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe [2007-06-29 372736]
R2 pdfcDispatcher;PDF Document Manager;C:\Programme\PDF Complete\pdfsvc.exe [2007-08-07 540184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Linux-server#Ablage]
\Shell\AutoRun\command - autorun.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{58DC00EE-BF0B-45C9-A4CD-C3F41F522C35} - C:\WINDOWS\system32\wvUliiHa.dll
BHO-{6AFB6F98-289C-442E-B577-5E5125C742E2} - C:\WINDOWS\system32\pmnmnOHb.dll
BHO-{e130dded-62eb-4c83-a513-7bfafc6995bb} - C:\WINDOWS\system32\ylxziz.dll
ShellExecuteHooks-{6AFB6F98-289C-442E-B577-5E5125C742E2} - C:\WINDOWS\system32\pmnmnOHb.dll
Notify-NavLogon - (no file)
Notify-WRNotifier - (no file)

.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Mozilla\Firefox\Profiles\62k43a39.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 15:59:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons\HijackThis.lnk 1698 bytes
C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\TmpRecentIcons\Verknüpfung mit Arbeitsplatz.lnk 104 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET CLR Data]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET CLR Networking]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET Data Provider for Oracle]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NET Data Provider for SqlServer]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.NETFramework]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Abiosdsk]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\abp480n5]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ac97intc]
"ImagePath"="system32\drivers\ac97intc.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ACPI]
"ImagePath"="system32\DRIVERS\ACPI.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ACPIEC]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Adobe LM Service]
"ImagePath"="\"C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\adpu160m]
"ImagePath"="\SystemRoot\system32\DRIVERS\adpu160m.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\adpu320]
"ImagePath"="\SystemRoot\system32\DRIVERS\adpu320.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aec]
"ImagePath"="system32\drivers\aec.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AFD]
"ImagePath"="\SystemRoot\System32\drivers\afd.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Aha154x]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aic78u2]
"ImagePath"="\SystemRoot\system32\DRIVERS\aic78u2.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aic78xx]
"ImagePath"="\SystemRoot\system32\DRIVERS\aic78xx.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Alerter]
"ServiceDll"="%SystemRoot%\system32\alrsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ALG]
"ImagePath"="%SystemRoot%\System32\alg.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AliIde]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\amsint]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler]
"ImagePath"="\"C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService]
"ImagePath"="\"C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AppMgmt]
"ServiceDll"="%SystemRoot%\System32\appmgmts.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc3350p]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc3550]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET_1.1.4322]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASP.NET_2.0.50727]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aspnet_state]
"ImagePath"="%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AsyncMac]
"ImagePath"="system32\DRIVERS\asyncmac.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\atapi]
"ImagePath"="system32\DRIVERS\atapi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Atdisk]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Atmarpc]
"ImagePath"="system32\DRIVERS\atmarpc.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv]
"ServiceDll"="%SystemRoot%\System32\audiosrv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\audstub]
"ImagePath"="system32\DRIVERS\audstub.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avgio]
"ImagePath"="\??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avgntflt]
"ImagePath"="\??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avipbb]
"ImagePath"="system32\DRIVERS\avipbb.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BattC]
"MofImagePath"="System32\Drivers\battc.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Beep]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BITS]
"ServiceDll"="%systemroot%\system32\qmgr.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Browser]
"ServiceDll"="%SystemRoot%\System32\browser.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme]
"ImagePath"="\??\C:\ComboFix\catchme.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cbidf2k]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cd20xrnt]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdaudio]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdfs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom]
"ImagePath"="system32\DRIVERS\cdrom.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Changer]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CiSvc]
"ImagePath"="%SystemRoot%\system32\cisvc.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ClipSrv]
"ImagePath"="%SystemRoot%\system32\clipsrv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.0.50727_32]
"ImagePath"="C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CmdIde]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]
"ImagePath"="C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentFilter]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentIndex]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cpqarray]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]
"ServiceDll"="%SystemRoot%\System32\cryptsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac2w2k]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac960nt]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]
"ServiceDll"="%SystemRoot%\system32\rpcss.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]
"ServiceDll"="%SystemRoot%\System32\dhcpcsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Disk]
"ImagePath"="system32\DRIVERS\disk.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]
"ImagePath"="%SystemRoot%\System32\dmadmin.exe /com"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmboot]
"ImagePath"="System32\drivers\dmboot.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmio]
"ImagePath"="System32\drivers\dmio.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmload]
"ImagePath"="System32\drivers\dmload.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmserver]
"ServiceDll"="%SystemRoot%\System32\dmserver.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DMusic]
"ImagePath"="system32\drivers\DMusic.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dnscache]
"ServiceDll"="%SystemRoot%\System32\dnsrslvr.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot4]
"ImagePath"="system32\DRIVERS\Dot4.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot4Print]
"ImagePath"="system32\DRIVERS\Dot4Prt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dot4usb]
"ImagePath"="system32\DRIVERS\dot4usb.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dpti2o]
"ImagePath"="\SystemRoot\system32\DRIVERS\dpti2o.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\drmkaud]
"ImagePath"="system32\drivers\drmkaud.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\E100B]
"ImagePath"="system32\DRIVERS\e100b325.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ERSvc]
"ServiceDll"="%SystemRoot%\System32\ersvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]
"ServiceDll"="C:\WINDOWS\system32\es.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fastfat]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCompatibility]
"ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fdc]
"ImagePath"="system32\DRIVERS\fdc.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fips]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Flpydisk]
"ImagePath"="system32\DRIVERS\flpydisk.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FltMgr]
"ImagePath"="system32\DRIVERS\fltMgr.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fs_Rec]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ftdisk]
"ImagePath"="system32\DRIVERS\ftdisk.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Gpc]
"ImagePath"="system32\DRIVERS\msgpc.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HDAudBus]
"ImagePath"="system32\DRIVERS\HDAudBus.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\helpsvc]
"ServiceDll"="%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]
"ServiceDll"="%SystemRoot%\System32\hidserv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hpn]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTP]
"ImagePath"="System32\Drivers\HTTP.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]
"ServiceDll"="%SystemRoot%\System32\w3ssl.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omgmt]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omp]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i8042prt]
"ImagePath"="system32\DRIVERS\i8042prt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i81x]
"ImagePath"="system32\DRIVERS\i81xnt5.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP0]
"ImagePath"="system32\DRIVERS\wADV01nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP1]
"ImagePath"="system32\DRIVERS\wADV02NT.sys"

LipToN · 10.09.2008, 15:07

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP2]
"ImagePath"="system32\DRIVERS\wADV05NT.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP3]
"ImagePath"="system32\DRIVERS\wSiINTxx.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP4]
"ImagePath"="system32\DRIVERS\wVchNTxx.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP5]
"ImagePath"="system32\DRIVERS\wADV07nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP6]
"ImagePath"="system32\DRIVERS\wADV08nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimFP7]
"ImagePath"="system32\DRIVERS\wADV09nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV0]
"ImagePath"="system32\DRIVERS\wATV01nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV1]
"ImagePath"="system32\DRIVERS\wATV02NT.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV3]
"ImagePath"="system32\DRIVERS\wATV04nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV4]
"ImagePath"="system32\DRIVERS\wCh7xxNT.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV5]
"ImagePath"="system32\DRIVERS\wATV10nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iAimTV6]
"ImagePath"="system32\DRIVERS\wATV06nt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ialm]
"ImagePath"="system32\DRIVERS\igxpmp32.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Imapi]
"ImagePath"="system32\DRIVERS\imapi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ImapiService]
"ImagePath"="%systemroot%\system32\imapi.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\inetaccs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ini910u]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Inport]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IntcAzAudAddService]
"ImagePath"="system32\drivers\RtkHDAud.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IntelIde]
"ImagePath"="\SystemRoot\system32\DRIVERS\intelide.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\intelppm]
"ImagePath"="system32\DRIVERS\intelppm.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ip6Fw]
"ImagePath"="system32\DRIVERS\Ip6Fw.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpFilterDriver]
"ImagePath"="system32\DRIVERS\ipfltdrv.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpInIp]
"ImagePath"="system32\DRIVERS\ipinip.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpNat]
"ImagePath"="system32\DRIVERS\ipnat.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IPSec]
"ImagePath"="system32\DRIVERS\ipsec.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IRENUM]
"ImagePath"="system32\DRIVERS\irenum.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ISAPISearch]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isapnp]
"ImagePath"="system32\DRIVERS\isapnp.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Kbdclass]
"ImagePath"="system32\DRIVERS\kbdclass.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kmixer]
"ImagePath"="system32\drivers\kmixer.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KSecDD]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver]
"ServiceDll"="%SystemRoot%\System32\srvsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanworkstation]
"ServiceDll"="%SystemRoot%\System32\wkssvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lbrtfdc]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ldap]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LicenseService]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LmHosts]
"ServiceDll"="%SystemRoot%\System32\lmhsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM]
"ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Messenger]
"ServiceDll"="%SystemRoot%\System32\msgsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmdd]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]
"ImagePath"="C:\WINDOWS\system32\mnmsrvc.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Modem]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mouclass]
"ImagePath"="system32\DRIVERS\mouclass.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MountMgr]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mraid35x]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxDAV]
"ImagePath"="system32\DRIVERS\mrxdav.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxSmb]
"ImagePath"="system32\DRIVERS\mrxsmb.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MS1000]
"ImagePath"="System32\DRIVERS\MS1000.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSDTC]
"ImagePath"="C:\WINDOWS\system32\msdtc.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Msfs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIServer]
"ImagePath"="%systemroot%\system32\msiexec.exe /V"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSKSSRV]
"ImagePath"="system32\drivers\MSKSSRV.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPCLOCK]
"ImagePath"="system32\drivers\MSPCLOCK.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPQM]
"ImagePath"="system32\drivers\MSPQM.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mssmbios]
"ImagePath"="system32\DRIVERS\mssmbios.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSSQL$MSSMLBIZ]
"ImagePath"="\"c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe\" -sMSSMLBIZ"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSSQLServerADHelper]
"ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mup]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDIS]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisTapi]
"ImagePath"="system32\DRIVERS\ndistapi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ndisuio]
"ImagePath"="system32\DRIVERS\ndisuio.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisWan]
"ImagePath"="system32\DRIVERS\ndiswan.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDProxy]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBIOS]
"ImagePath"="system32\DRIVERS\netbios.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBT]
"ImagePath"="system32\DRIVERS\netbt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]
"ImagePath"="%SystemRoot%\system32\netdde.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]
"ImagePath"="%SystemRoot%\system32\netdde.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netlogon]
"ImagePath"="%SystemRoot%\system32\lsass.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]
"ServiceDll"="%SystemRoot%\System32\netman.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]
"ServiceDll"="%SystemRoot%\System32\mswsock.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Npfs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ntfs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtLmSsp]
"ImagePath"="%SystemRoot%\system32\lsass.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc]
"ServiceDll"="%SystemRoot%\system32\ntmssvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Null]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFlt]
"ImagePath"="system32\DRIVERS\nwlnkflt.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFwd]
"ImagePath"="system32\DRIVERS\nwlnkfwd.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\odserv]
"ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OLXConvert Agent]
"ImagePath"="C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]
"ImagePath"="\"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Outlook]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\P3]
"ImagePath"="system32\DRIVERS\p3.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Parport]
"ImagePath"="system32\DRIVERS\parport.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PartMgr]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ParVdm]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA]
"ImagePath"="C:\WINDOWS\SMINST\PCAngel.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCI]
"ImagePath"="system32\DRIVERS\pci.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIDump]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIIde]
"ImagePath"="system32\DRIVERS\pciide.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pcmcia]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDCOMP]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDFRAME]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRELI]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRFRAME]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2hib]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfDisk]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfNet]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfOS]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfProc]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]
"ImagePath"="%SystemRoot%\system32\services.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pml Driver HPZ12]
"ServiceDll"="C:\WINDOWS\system32\HPZipm12.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PolicyAgent]
"ImagePath"="%SystemRoot%\system32\lsass.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PptpMiniport]
"ImagePath"="system32\DRIVERS\raspptp.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ProtectedStorage]
"ImagePath"="%SystemRoot%\system32\lsass.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSched]
"ImagePath"="system32\DRIVERS\psched.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ptilink]
"ImagePath"="system32\DRIVERS\ptilink.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1080]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ql10wnt]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql12160]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1240]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1280]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAcd]
"ImagePath"="system32\DRIVERS\rasacd.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]
"ServiceDll"="%SystemRoot%\System32\rasauto.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rasl2tp]
"ImagePath"="system32\DRIVERS\rasl2tp.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]
"ServiceDll"="%SystemRoot%\System32\rasmans.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasPppoe]
"ImagePath"="system32\DRIVERS\raspppoe.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Raspti]
"ImagePath"="system32\DRIVERS\raspti.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rdbss]
"ImagePath"="system32\DRIVERS\rdbss.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPCDD]
"ImagePath"="System32\DRIVERS\RDPCDD.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPDD]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rdpdr]
"ImagePath"="system32\DRIVERS\rdpdr.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPNP]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPWD]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDSessMgr]
"ImagePath"="C:\WINDOWS\system32\sessmgr.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\redbook]
"ImagePath"="system32\DRIVERS\redbook.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteAccess]
"ServiceDll"="%SystemRoot%\System32\mprdim.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteRegistry]
"ServiceDll"="%SystemRoot%\system32\regsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcLocator]
"ImagePath"="%SystemRoot%\system32\locator.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcSs]
"ServiceDll"="%SystemRoot%\System32\rpcss.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RSVP]
"ImagePath"="%SystemRoot%\system32\rsvp.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SamSs]
"ImagePath"="%SystemRoot%\system32\lsass.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SCardSvr]
"ImagePath"="%SystemRoot%\System32\SCardSvr.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Schedule]
"ServiceDll"="%SystemRoot%\system32\schedsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Secdrv]
"ImagePath"="system32\DRIVERS\secdrv.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\seclogon]
"ServiceDll"="%SystemRoot%\System32\seclogon.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SENS]
"ServiceDll"="%SystemRoot%\system32\sens.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\serenum]
"ImagePath"="system32\DRIVERS\serenum.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Serial]
"ImagePath"="system32\DRIVERS\serial.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sfloppy]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess]
"ServiceDll"="%SystemRoot%\System32\ipnathlp.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ShellHWDetection]
"ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Simbad]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sparrow]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\splitter]
"ImagePath"="system32\drivers\splitter.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Spooler]
"ImagePath"="%SystemRoot%\system32\spoolsv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SQLBrowser]
"ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SQLWriter]
"ImagePath"="\"c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe\""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sr]
"ImagePath"="system32\DRIVERS\sr.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srservice]
"ServiceDll"="C:\WINDOWS\system32\srsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Srv]
"ImagePath"="system32\DRIVERS\srv.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SSDPSRV]
"ServiceDll"="%SystemRoot%\System32\ssdpsrv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ssmdrv]
"ImagePath"="system32\DRIVERS\ssmdrv.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\stisvc]
"ServiceDll"="%SystemRoot%\system32\wiaservc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swenum]
"ImagePath"="system32\DRIVERS\swenum.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swmidi]
"ImagePath"="system32\drivers\swmidi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SwPrv]
"ImagePath"="C:\WINDOWS\system32\dllhost.exe /Processid:{1B1A5BCF-5439-48ED-AE38-24E2DCBF61C5}"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc810]
"ImagePath"="\SystemRoot\system32\DRIVERS\symc810.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc8xx]
"ImagePath"="\SystemRoot\system32\DRIVERS\symc8xx.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Symmpi]
"ImagePath"="\SystemRoot\system32\DRIVERS\symmpi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_hi]
"ImagePath"="\SystemRoot\system32\DRIVERS\sym_hi.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_u3]
"ImagePath"="\SystemRoot\system32\DRIVERS\sym_u3.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sysaudio]
"ImagePath"="system32\drivers\sysaudio.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SysmonLog]
"ImagePath"="%SystemRoot%\system32\smlogsvc.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TapiSrv]
"ServiceDll"="%SystemRoot%\System32\tapisrv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip]
"ImagePath"="system32\DRIVERS\tcpip.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDPIPE]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDTCP]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermDD]
"ImagePath"="system32\DRIVERS\termdd.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermService]
"ServiceDll"="%SystemRoot%\System32\termsrv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Themes]
"ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TlntSvr]
"ImagePath"="C:\WINDOWS\system32\tlntsvr.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TosIde]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TrkWks]
"ServiceDll"="%SystemRoot%\system32\trkwks.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TSDDD]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Udfs]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ultra]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\upnphost]
"ServiceDll"="%SystemRoot%\System32\upnphost.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UPS]
"ImagePath"="%SystemRoot%\System32\ups.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbehci]
"ImagePath"="system32\DRIVERS\usbehci.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbhub]
"ImagePath"="system32\DRIVERS\usbhub.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbscan]
"ImagePath"="system32\DRIVERS\usbscan.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\USBSTOR]
"ImagePath"="system32\DRIVERS\USBSTOR.SYS"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbuhci]
"ImagePath"="system32\DRIVERS\usbuhci.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VgaSave]
"ImagePath"="\SystemRoot\System32\drivers\vga.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ViaIde]
"ImagePath"="\SystemRoot\system32\DRIVERS\viaide.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VolSnap]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSS]
"ImagePath"="%SystemRoot%\System32\vssvc.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VxD]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W32Time]
"ServiceDll"="%systemroot%\system32\w32time.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W3SVC]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Wanarp]
"ImagePath"="system32\DRIVERS\wanarp.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WDICA]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wdmaud]
"ImagePath"="system32\drivers\wdmaud.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WebClient]
"ServiceDll"="%SystemRoot%\System32\webclnt.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winmgmt]
"ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Winsock]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinSock2]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinTrust]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmdmPmSN]
"ServiceDll"="C:\WINDOWS\system32\mspmsnsv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Wmi]
"ServiceDll"="%SystemRoot%\System32\advapi32.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiApRpl]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiApSrv]
"ImagePath"="C:\WINDOWS\system32\wbem\wmiapsrv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WS2IFSL]
"ImagePath"="\SystemRoot\System32\drivers\ws2ifsl.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wscsvc]
"ServiceDll"="%SYSTEMROOT%\system32\wscsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wuauserv]
"ServiceDll"="C:\WINDOWS\system32\wuauserv.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WZCSVC]
"ServiceDll"="%SystemRoot%\System32\wzcsvc.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xmlprov]
"ServiceDll"="%SystemRoot%\System32\xmlprov.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{2933FEC1-1F06-45E3-966B-945969C8550F}]
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-10 16:02:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-10 14:02:32

Pre-Run: 17 Verzeichnis(se), 47,937,830,912 Bytes frei
Post-Run: 21 Verzeichnis(se), 49,255,006,208 Bytes frei

749 --- E O F --- 2008-08-28 06:08:38

LipToN · 10.09.2008, 15:11

Hallo Chris,

so nun werde ich nochmal HijackThis drüber laufen lassen und hoffe dass du mir dann sagen kannst was los ist bzw. wie du mir helfen kannst

Ich brauch den dringend und es ist grad beinahe unmöglich hierzu arbeiten!

VG Mathias

LipToN · 10.09.2008, 15:16

Anbei die HijackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14: VIRUS ALERT!, on 10.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe
C:\Programme\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\PDF Complete\pdfsty.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: QXK Olive - {F6EE5875-4854-4408-B12D-3290883D966E} - C:\WINDOWS\vmgspntbter.dll
O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe
O4 - HKLM\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe
O4 - HKLM\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe
O4 - HKLM\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MSA\MSA.exe
O4 - HKLM\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKLM\..\Run: [501299a5] rundll32.exe "C:\WINDOWS\system32\dbddlamv.dll",b
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe
O4 - HKCU\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe
O4 - HKCU\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe
O4 - HKCU\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKCU\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2
O20 - AppInit_DLLs: ylxziz.dll
O21 - SSODL: mgxfebsq - {D92C4C3D-8DD1-435A-A4E2-A84918ADDCCE} - C:\WINDOWS\mgxfebsq.dll
O21 - SSODL: dtseqrxk - {29C8E233-DD5E-4802-9385-0D154ABD307B} - C:\WINDOWS\dtseqrxk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8607 bytes

Chris4You · 10.09.2008, 16:25

Hi,

Du hast keinen Rechner mehr, Du hast eine Viren/Trojaner-Schleuder!

Keine Gewähr, dass der Rechner nach der Orgie noch stabil läuft!

So, bitte genau durchlesen, eigentlich musst Du bei dem Grad
der Verseuchung Neuaufsetzen!

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\MSa.cpl
C:\WINDOWS\vmgspntbter.dll
C:\WINDOWS\dtseqrxk.dll
C:\WINDOWS\mgxfebsq.dll
C:\WINDOWS\fqbewlna.dll
C:\WINDOWS\mqgldfvo.exe
C:\WINDOWS\system32\dllcache\msadce.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils mit Filename das gesamte Ergebnisbild, wenn etwas nicht erkannt wurde,
unten aus dem Script rausnehmen!

Weiter alle Tools Combofix, MAM, HJ aus dem Internetladen bzw. updaten und dann
unbdingt [b]offline]/b] gehen!

Alle Schritte sind Offline durchzuführen, möglichst im abgesicherten Modus (F8 beim booten)!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Files to delete:
C:\WINDOWS\system32\2.ico
C:\WINDOWS\system32\MSa.cpl
C:\WINDOWS\system32\YUR10.VIR
C:\WINDOWS\system32\1.ico
C:\WINDOWS\vmgspntbter.dll
C:\WINDOWS\dtseqrxk.dll
C:\WINDOWS\mgxfebsq.dll
C:\WINDOWS\fqbewlna.dll
C:\WINDOWS\mqgldfvo.exe
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\casino3.ico
C:\WINDOWS\system32\casino2.ico
C:\WINDOWS\system32\casino1.ico
C:\WINDOWS\system32\tdsspopup.dll
C:\WINDOWS\system32\tdsspopup3.url
C:\WINDOWS\system32\tdsspopup2.url
C:\WINDOWS\system32\tdsspopup1.url
C:\WINDOWS\system32\wvUliiHa.dll
C:\WINDOWS\system32\pmnmnOHb.dll
C:\WINDOWS\system32\ylxziz.dll
C:\WINDOWS\privacy_danger\index.htm
C:\Windows\system32\YUR2.exe
C:\Windows\system32\YUR1.exe
C:\Windows\system32\YUR3.exe
C:\Windows\system32\YUR5.exe
C:\Windows\system32\YUR6.exe
C:\Windows\system32\YURF.exe
C:\Windows\system32\YUR10.exe
C:\Windows\system32\YUR11.exe
C:\Windows\system32\YUR12.exe
C:\Windows\system32\YUR13.exe
C:\Windows\system32\YUR2.exe
C:\Windows\system32\YUR1.exe
C:\Windows\system32\YUR3.exe
C:\Windows\system32\YUR5.exe
C:\Windows\system32\YUR6.exe

Folders to delete:
C:\Programme\rhcjgcj0e529
C:\WINDOWS\privacy_danger

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
O20 - AppInit_DLLs: ylxziz.dll
O21 - SSODL: mgxfebsq - {D92C4C3D-8DD1-435A-A4E2-A84918ADDCCE} - C:\WINDOWS\mgxfebsq.dll
O21 - SSODL: dtseqrxk - {29C8E233-DD5E-4802-9385-0D154ABD307B} - C:\WINDOWS\dtseqrxk.dll
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O4 - HKLM\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe
O4 - HKLM\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe
O4 - HKLM\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe
O4 - HKLM\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MSA\MSA.exe
O4 - HKLM\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKLM\..\Run: [501299a5] rundll32.exe "C:\WINDOWS\system32\dbddlamv.dll",b
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKCU\..\Run: [\YURF.exe] C:\Windows\system32\YURF.exe
O4 - HKCU\..\Run: [\YUR10.exe] C:\Windows\system32\YUR10.exe
O4 - HKCU\..\Run: [\YUR11.exe] C:\Windows\system32\YUR11.exe
O4 - HKCU\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKCU\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKLM\..\Run: [SMrhcjgcj0e529] C:\Programme\rhcjgcj0e529\rhcjgcj0e529.exe
O2 - BHO: QXK Olive - {F6EE5875-4854-4408-B12D-3290883D966E} - C:\WINDOWS\vmgspntbter.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

Danach machst Du immer noch offline ein neues HJ-Log. Falls sich File neu generiert haben
(nach dem Muster: C:\Windows\system32\YUR6.exe) sind diese sofort zu löschen!

Gehe dann kurz online und poste alle Logs, d.h. von AVenger, HJ und ein neues
ComboFix-Log. Danach bitte wieder offline gehen und nur kurz zum Antwort abfragen wieder
online gehen... Sonst läd sich u. U. wieder was nach...

Das kostet bei dem Arbeitsaufwand extra... wahrscheinlich müssen wir auch noch
Combofix scripten, die C:\Windows\system32\YUR6.exe-Einträge sind sehr zäh...

Chris

LipToN · 11.09.2008, 06:16

huhu,

schonmal vielen Dank.

Mache alles was du sagst

anbei die ersten logs.

Grüße

C:\WINDOWS\vmgspntbter.dll

Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.9.6.02008.09.10-AntiVir7.8.1.282008.09.11ADSPY/AdSpy.GenAuthentium5.1.0.42008.09.11-Avast4.8.1195.02008.09.10Win32:Vapsup-EBAVG8.0.0.1612008.09.10-BitDefender7.22008.09.11-CAT-QuickHeal9.502008.09.11-ClamAV0.93.12008.09.11-DrWeb4.44.0.091702008.09.11-eSafe7.0.17.02008.09.10-eTrust-Vet31.6.60832008.09.10-Ewido4.02008.09.10-F-Prot4.4.4.562008.09.10-F-Secure8.0.14332.02008.09.11-Fortinet3.113.0.02008.09.11-GData192008.09.11Win32:Vapsup-EBIkarusT3.1.1.34.02008.09.11Virus.Win32.Vapsup.EBK7AntiVirus7.10.4502008.09.10-Kaspersky7.0.0.1252008.09.11-McAfee53812008.09.10-Microsoft1.39032008.09.11-NOD32v234292008.09.09-Norman5.80.022008.09.10-Panda9.0.0.42008.09.10-PCTools4.4.2.02008.09.10-Prevx1V22008.09.11-Rising20.61.30.002008.09.11Trojan.Win32.Vapsup.eufSophos4.33.02008.09.11Mal/Emogen-ACSunbelt3.1.1624.12008.09.11-Symantec102008.09.11Downloader.Zlob!gen.3TheHacker6.3.0.9.0772008.09.10-TrendMicro8.700.0.10042008.09.10TROJ_BHO.SKVBA323.12.8.52008.09.10suspected of Downloader.Zlob.7 (paranoid heuristics)ViRobot2008.9.10.13712008.09.11-VirusBuster4.5.11.02008.09.10-Webwasher-Gateway6.6.22008.09.11Ad-Spyware.AdSpy.Gen

File size: 364544 bytesMD5...: 2f3d43cdb4578d81fc14882472f6070eSHA1..: 4abc8303691ee7d2aacc9d974066339dd527d7eeSHA256: 18777cf6f172017b5ea0b134536a2120e09a170951b69546ebe7b5e22855b9bcSHA512: e32d0cdeacb1b5c39e9d302b75c629847c7b125865ec4559e4bb4678004e721e
fc39d8cafd170ece55e0abf5ee036df43c27c30a6386d3e9c69f3538d7719475PEiD..: -TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002637a
timedatestamp.....: 0x48c770f3 (Wed Sep 10 07:02:11 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x397c8 0x3a000 6.39 c39a36297963989f8dc37daa4f54535c
.rdata 0x3b000 0x16fb3 0x17000 4.53 486ebb201cb32018b15b3d95f2c7b0d8
.data 0x52000 0x3a04 0x2000 3.95 5dd0e0e46ae17a35c1fd52487e7d3bfb
.rsrc 0x56000 0xaf8 0x1000 3.33 c48661706f50f53a07784e530faa1e10
.reloc 0x57000 0x352a 0x4000 4.78 81021a4940caf0c3034d0b7a1ee86c41

( 5 imports )
> KERNEL32.dll: GetLastError, FindResourceW, LoadLibraryExW, GetModuleFileNameW, EnterCriticalSection, RaiseException, FreeLibrary, DeleteCriticalSection, lstrcmpiW, LeaveCriticalSection, InitializeCriticalSection, MultiByteToWideChar, LoadResource, GetModuleHandleW, InterlockedDecrement, GetProcAddress, LoadLibraryW, CloseHandle, DebugBreak, CreateFileA, SetEndOfFile, SizeofResource, FormatMessageW, HeapFree, GetProcessHeap, GlobalAlloc, Sleep, CreateThread, HeapAlloc, InterlockedIncrement, lstrlenW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, FlushFileBuffers, SetStdHandle, CreateFileW, SetEnvironmentVariableW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetStringTypeW, GetStringTypeA, GetConsoleMode, GetConsoleCP, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetCPInfo, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetFilePointer, ReadFile, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, lstrlenA
> USER32.dll: UnregisterClassA, ShowWindow, CharNextW, MessageBoxW
> ADVAPI32.dll: RegOpenKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteValueW, RegEnumKeyExW, RegDeleteKeyW, RegCreateKeyExW, RegQueryValueExW
> ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc, StringFromGUID2, CreateStreamOnHGlobal, CoTaskMemRealloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

__________________

C:\WINDOWS\dtseqrxk.dll

0 bytes size received / Se ha recibido un archivo vacio

__________________

C:\WINDOWS\mgxfebsq.dll

0 bytes size received / Se ha recibido un archivo vacio

___________________

C:\WINDOWS\fqbewlna.dll

Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.9.6.02008.09.10-AntiVir7.8.1.282008.09.11ADSPY/AdSpy.GenAuthentium5.1.0.42008.09.11W32/Adware-Vapsup!MaximusAvast4.8.1195.02008.09.10-AVG8.0.0.1612008.09.10-BitDefender7.22008.09.11-CAT-QuickHeal9.502008.09.11-ClamAV0.93.12008.09.11-DrWeb4.44.0.091702008.09.11-eSafe7.0.17.02008.09.10-eTrust-Vet31.6.60832008.09.10-Ewido4.02008.09.10-F-Prot4.4.4.562008.09.10W32/Adware-Vapsup!MaximusF-Secure8.0.14332.02008.09.11-Fortinet3.113.0.02008.09.11-GData192008.09.11-IkarusT3.1.1.34.02008.09.11-K7AntiVirus7.10.4502008.09.10-Kaspersky7.0.0.1252008.09.11-McAfee53812008.09.10-Microsoft1.39032008.09.11Trojan:Win32/Zlob.gen!QNOD32v234292008.09.09-Norman5.80.022008.09.10-Panda9.0.0.42008.09.10-PCTools4.4.2.02008.09.10-Prevx1V22008.09.11Malicious SoftwareRising20.61.30.002008.09.11-Sophos4.33.02008.09.11-Sunbelt3.1.1624.12008.09.11-Symantec102008.09.11Downloader.Zlob!gen.3TheHacker6.3.0.9.0772008.09.10-TrendMicro8.700.0.10042008.09.10-VBA323.12.8.52008.09.10suspected of Downloader.Zlob.7 (paranoid heuristics)ViRobot2008.9.10.13712008.09.11-VirusBuster4.5.11.02008.09.10-Webwasher-Gateway6.6.22008.09.11Ad-Spyware.AdSpy.Gen

File size: 192512 bytesMD5...: 20b5266528c50cf6069dc4d4d89b6cb3SHA1..: 65088776f79fab376922c865e5a663ad70520afaSHA256: 3d3c572d7257d1c2bf6072957f52b6bde5d08914b0dabadf6b0b33ea4d826b6bSHA512: 444dbb295fbe639e389db312dd53a7ce12f603514a241fa1411f017dde7cdb48
188b183055569026c5b50676cfd99e6a0c723057ed7fc2519dd6676291e735bdPEiD..: -TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10012d91
timedatestamp.....: 0x48c77260 (Wed Sep 10 07:08:16 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e8c9 0x1f000 6.45 d6d757e9182d777d3309a881a21e61cf
.rdata 0x20000 0x6cb5 0x7000 5.19 29fc874188bdbf68382a9382ccbb1640
.data 0x27000 0x3900 0x2000 3.67 69b83cbce4c32d97cefb516bcc839502
.rsrc 0x2b000 0x2200 0x3000 3.56 c36d1d840c1acef7edf1c5ae4fb1ff2a
.reloc 0x2e000 0x2802 0x3000 4.39 8c862765ad3b6c5679ff9537bfad0c8e

( 6 imports )
> COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy
> KERNEL32.dll: RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetLastError, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, GetModuleFileNameW, GetModuleHandleW, lstrlenW, InterlockedIncrement, InitializeCriticalSection, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetConsoleMode, GetConsoleCP, SetFilePointer, IsValidCodePage, GetOEMCP, GetCPInfo, GetSystemTimeAsFileTime, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, Sleep, HeapSize, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId
> USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW
> ADVAPI32.dll: RegDeleteKeyW, RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW
> ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

______________________

C:\WINDOWS\dtseqrxk.dll

0 bytes size received / Se ha recibido un archivo vacio

_____________________

C:\WINDOWS\mgxfebsq.dll

0 bytes size received / Se ha recibido un archivo vacio

______________________

C:\WINDOWS\mqgldfvo.exe

Datei mqgldfvo.exe empfangen 2008.09.11 07:08:39 (CET)
Status: Beendet
Ergebnis: 6/36 (16.67%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.11 -
Authentium 5.1.0.4 2008.09.11 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 Adload_r.BX
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.11 -
ClamAV 0.93.1 2008.09.11 -
DrWeb 4.44.0.09170 2008.09.11 -
eSafe 7.0.17.0 2008.09.10 -
eTrust-Vet 31.6.6083 2008.09.10 -
Ewido 4.0 2008.09.10 -
F-Prot 4.4.4.56 2008.09.10 -
F-Secure 8.0.14332.0 2008.09.11 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.11 -
Ikarus T3.1.1.34.0 2008.09.11 -
K7AntiVirus 7.10.450 2008.09.10 -
Kaspersky 7.0.0.125 2008.09.11 -
McAfee 5381 2008.09.10 -
Microsoft 1.3903 2008.09.11 Trojan:Win32/Small.ZZB
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.10 -
Panda 9.0.0.4 2008.09.10 -
PCTools 4.4.2.0 2008.09.10 -
Prevx1 V2 2008.09.11 Cloaked Malware
Rising 20.61.30.00 2008.09.11 Trojan.DL.Win32.QQHelper.bgc
Sophos 4.33.0 2008.09.11 -
Sunbelt 3.1.1624.1 2008.09.11 -
Symantec 10 2008.09.11 Downloader.Zlob!gen.3
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.10 suspected of Downloader.Zlob.7 (paranoid heuristics)
ViRobot 2008.9.10.1371 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.10 -
Webwasher-Gateway 6.6.2 2008.09.11 -
weitere Informationen
File size: 135168 bytes
MD5...: 3768004be0292929abac5f675dc02c24
SHA1..: 6c500fa7c8d459aeafa2f75c5c11019c52e03af6
SHA256: 9b829b3603898efdbcb07d11797fa9b30b470c2fba575ac48d3e2eee92daeb68
SHA512: 60d1cc1dc98bac7d7f13e89aff0b0a40db5ae94203659d8ab2d2d15f34553558
251a4ee25622197d2e7963eac54a656a8e0cfb3c216138199f3a2210d0c97da4
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40b018
timedatestamp.....: 0x48c76d18 (Wed Sep 10 06:45:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1627c 0x17000 6.33 f23724c8cf623a3bffab9db63f5c871c
.rdata 0x18000 0x55a2 0x6000 4.89 def5bae035ed7b9703ee13d556032137
.data 0x1e000 0x2de4 0x2000 1.52 e6cfe21581d4a31f876a3be0b0dbe0b4
.rsrc 0x21000 0xb0 0x1000 3.06 3efe6315b703a6d961a854a122fe7f60

( 2 imports )
> KERNEL32.dll: FreeLibrary, SetLastError, CloseHandle, LoadLibraryW, TerminateProcess, OpenProcess, GetCurrentProcessId, GetProcAddress, FindFirstFileW, GetLastError, FindClose, RtlUnwind, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RaiseException, EnterCriticalSection, LeaveCriticalSection, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, MultiByteToWideChar, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, LoadLibraryA, InitializeCriticalSection, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, CreateFileW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetFilePointer, SetEndOfFile, ReadFile, CreateFileA
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=40626B3900A0C1E810BE02A38ECF5D0035330C1E

Ich bin jetzt offline und schaue ab und an von einem anderen PC was geht! Grüße

LipToN · 11.09.2008, 06:25

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\2.ico" deleted successfully.
File "C:\WINDOWS\system32\MSa.cpl" deleted successfully.
File "C:\WINDOWS\system32\YUR10.VIR" deleted successfully.
File "C:\WINDOWS\system32\1.ico" deleted successfully.
File "C:\WINDOWS\vmgspntbter.dll" deleted successfully.

Error: file "C:\WINDOWS\dtseqrxk.dll" not found!
Deletion of file "C:\WINDOWS\dtseqrxk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\mgxfebsq.dll" not found!
Deletion of file "C:\WINDOWS\mgxfebsq.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\fqbewlna.dll" deleted successfully.
File "C:\WINDOWS\mqgldfvo.exe" deleted successfully.
File "C:\WINDOWS\system32\2.tmp" deleted successfully.
File "C:\WINDOWS\system32\casino3.ico" deleted successfully.
File "C:\WINDOWS\system32\casino2.ico" deleted successfully.
File "C:\WINDOWS\system32\casino1.ico" deleted successfully.
File "C:\WINDOWS\system32\tdsspopup.dll" deleted successfully.
File "C:\WINDOWS\system32\tdsspopup3.url" deleted successfully.
File "C:\WINDOWS\system32\tdsspopup2.url" deleted successfully.
File "C:\WINDOWS\system32\tdsspopup1.url" deleted successfully.

Error: file "C:\WINDOWS\system32\wvUliiHa.dll" not found!
Deletion of file "C:\WINDOWS\system32\wvUliiHa.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\pmnmnOHb.dll" not found!
Deletion of file "C:\WINDOWS\system32\pmnmnOHb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\ylxziz.dll" not found!
Deletion of file "C:\WINDOWS\system32\ylxziz.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open file "C:\WINDOWS\privacy_danger\index.htm"
Deletion of file "C:\WINDOWS\privacy_danger\index.htm" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: file "C:\Windows\system32\YUR2.exe" not found!
Deletion of file "C:\Windows\system32\YUR2.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR1.exe" not found!
Deletion of file "C:\Windows\system32\YUR1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR3.exe" not found!
Deletion of file "C:\Windows\system32\YUR3.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR5.exe" not found!
Deletion of file "C:\Windows\system32\YUR5.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR6.exe" not found!
Deletion of file "C:\Windows\system32\YUR6.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YURF.exe" not found!
Deletion of file "C:\Windows\system32\YURF.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR10.exe" not found!
Deletion of file "C:\Windows\system32\YUR10.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR11.exe" not found!
Deletion of file "C:\Windows\system32\YUR11.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR12.exe" not found!
Deletion of file "C:\Windows\system32\YUR12.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR13.exe" not found!
Deletion of file "C:\Windows\system32\YUR13.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR2.exe" not found!
Deletion of file "C:\Windows\system32\YUR2.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR1.exe" not found!
Deletion of file "C:\Windows\system32\YUR1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR3.exe" not found!
Deletion of file "C:\Windows\system32\YUR3.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR5.exe" not found!
Deletion of file "C:\Windows\system32\YUR5.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\YUR6.exe" not found!
Deletion of file "C:\Windows\system32\YUR6.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\rhcjgcj0e529" deleted successfully.

Error: folder "C:\WINDOWS\privacy_danger" not found!
Deletion of folder "C:\WINDOWS\privacy_danger" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Anti Virus 2008 auf meinem PC

Plagegeister aller Art und deren Bekämpfung: Anti Virus 2008 auf meinem PC