Dialer, Weiterleitung auf andere Homepages & Blockierung von Homepages

Sarah108 · 04.07.2009, 13:55

Protokoll Combofix, Teil 3 (letzter Teil):

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Setup.exe
26.08.2007 19:18 2059624 \RP838\A0171744.exe

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Support\Remover\Remover.exe
26.08.2007 18:04 142192 \RP838\A0171745.exe

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Support\Reporter\Reporter.exe
26.08.2007 18:04 985448 \RP838\A0171746.exe

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Support\VCRedist\redist32.exe
12.02.2007 20:10 2682880 \RP838\A0171747.exe

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\SymHTML.dll
15.08.2007 19:03 1592664 \RP838\A0171748.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\SymTheme.dll
06.08.2007 12:34 572760 \RP838\A0171749.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\SymTheme\1.0\SymTheme.dll
06.08.2007 12:34 372568 \RP838\A0171816.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\SymTheme\sthmbase.dll
06.08.2007 12:34 42840 \RP838\A0171815.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\CCERASER.DLL
20.08.2007 02:00 2454576 \RP838\A0171713.DLL

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\ECMSVR32.DLL
20.08.2007 02:00 284016 \RP838\A0171715.DLL

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\EECTRL.SYS
20.08.2007 02:00 395312 \RP838\A0171716.SYS

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\ERASER.SYS
20.08.2007 02:00 112688 \RP838\A0171718.SYS

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\NAVENG.SYS
20.08.2007 02:00 81232 \RP838\A0171719.SYS

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\NAVENG32.DLL
20.08.2007 02:00 124272 \RP838\A0171721.DLL

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\NAVEX15.SYS
20.08.2007 02:00 865904 \RP838\A0171722.SYS

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20070820.048\NAVEX32A.DLL
20.08.2007 02:00 914800 \RP838\A0171724.DLL

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\cceraser.dll
20.08.2007 02:00 2454576 \RP838\A0171730.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\ecmsvr32.dll
20.08.2007 02:00 284016 \RP838\A0171731.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\eeCtrl.sys
20.08.2007 02:00 395312 \RP838\A0171732.sys

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\ERASER.sys
20.08.2007 02:00 112688 \RP838\A0171734.sys

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\naveng.sys
20.08.2007 02:00 81232 \RP838\A0171735.sys

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\naveng32.dll
20.08.2007 02:00 124272 \RP838\A0171736.dll

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\navex15.sys
20.08.2007 02:00 865904 \RP838\A0171737.sys

c:\programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\BinHub\navex32a.dll
20.08.2007 02:00 914800 \RP838\A0171738.dll

c:\programme\Lavasoft\Ad-Aware\AAWService.exe
09.03.2009 21:06 951632 \RP838\A0171897.exe

c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
09.03.2009 21:06 515416 \RP838\A0171898.exe

c:\programme\Lavasoft\Ad-Aware\AAWWSC.exe
09.03.2009 17:38 444416 \RP838\A0171899.exe

c:\programme\Lavasoft\Ad-Aware\Ad-Aware.exe
09.03.2009 21:06 2121544 \RP838\A0171900.exe

c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
09.03.2009 21:06 542568 \RP838\A0171901.exe

c:\programme\Lavasoft\Ad-Aware\Ad-AwareCommand.exe
09.03.2009 21:06 472440 \RP838\A0171902.exe

c:\programme\Lavasoft\Ad-Aware\CEAPI.dll
09.03.2009 21:06 632168 \RP838\A0171903.dll

c:\programme\Lavasoft\Ad-Aware\dbghelp.dll
11.03.2009 10:11 1045128 \RP838\A0171904.dll

c:\programme\Lavasoft\Ad-Aware\drivers\32\AAWDriverTool.exe
09.03.2009 21:06 73064 \RP838\A0171905.exe

c:\programme\Lavasoft\Ad-Aware\drivers\32\DIFxAPI.dll
02.12.2008 16:00 319456 \RP838\A0171906.dll

c:\programme\Lavasoft\Ad-Aware\drivers\32\lbd.sys
09.03.2009 21:06 64160 \RP838\A0171909.sys

c:\programme\Lavasoft\Ad-Aware\drivers\64\AAWDriverTool.exe
09.03.2009 21:06 274792 \RP838\A0171910.exe

c:\programme\Lavasoft\Ad-Aware\drivers\64\DIFxAPI.dll
02.12.2008 16:00 525792 \RP838\A0171911.dll

c:\programme\Lavasoft\Ad-Aware\drivers\64\lbd.sys
09.03.2009 21:06 69664 \RP838\A0171914.sys

c:\programme\Lavasoft\Ad-Aware\drivers\AAWDriverTool.exe
09.03.2009 17:38 67584 \RP838\A0171915.exe

c:\programme\Lavasoft\Ad-Aware\drivers\DIFxAPI.dll
09.03.2009 17:38 319456 \RP838\A0171916.dll

c:\programme\Lavasoft\Ad-Aware\drivers\lbd.sys
09.03.2009 17:38 64160 \RP838\A0171919.sys

c:\programme\Lavasoft\Ad-Aware\lavalicense.dll
09.03.2009 21:06 343376 \RP838\A0171920.dll

c:\programme\Lavasoft\Ad-Aware\lavamessage.dll
09.03.2009 21:06 165216 \RP838\A0171921.dll

c:\programme\Lavasoft\Ad-Aware\lsdelete.exe
09.03.2009 21:06 15688 \RP838\A0171922.exe

c:\programme\Lavasoft\Ad-Aware\PrivacyClean.dll
09.03.2009 21:06 40288 \RP838\A0171923.dll

c:\programme\Lavasoft\Ad-Aware\Resources.dll
09.03.2009 21:06 1626976 \RP838\A0171924.dll

c:\programme\Lavasoft\Ad-Aware\RPAPI.dll
09.03.2009 21:06 212848 \RP838\A0171925.dll

c:\programme\Lavasoft\Ad-Aware\savapibridge.dll
09.03.2009 21:06 25440 \RP838\A0171926.dll

c:\programme\Lavasoft\Ad-Aware\ShellExt.dll
09.03.2009 21:06 82272 \RP838\A0171927.dll

c:\programme\Lavasoft\Ad-Aware\ThreatWork.exe
09.03.2009 21:06 299352 \RP838\A0171928.exe

c:\programme\Lavasoft\Ad-Aware\Toolbox\AutoStart Manager\AutoStart Manager.exe
25.02.2009 15:22 432472 \RP838\A0171929.exe

c:\programme\Lavasoft\Ad-Aware\Toolbox\AutoStart Manager\SO.dll
25.02.2009 15:22 109920 \RP838\A0171930.dll

c:\programme\Lavasoft\Ad-Aware\Toolbox\LT\HostFileEditor.exe
11.03.2009 10:12 2133360 \RP838\A0171931.exe

c:\programme\Lavasoft\Ad-Aware\Toolbox\LT\ProcessWatch.dll
11.03.2009 10:12 139632 \RP838\A0171932.dll

c:\programme\Lavasoft\Ad-Aware\Toolbox\LT\ProcessWatch.exe
11.03.2009 10:12 1865064 \RP838\A0171933.exe

c:\programme\Lavasoft\Ad-Aware\unrar.dll
11.09.2008 00:00 168960 \RP838\A0171934.dll

c:\programme\Lavasoft\Ad-Aware\UpdateManager.dll
09.03.2009 21:06 289632 \RP838\A0171935.dll

c:\windows\brastk.exe
\RP833\A0165981.exe
\RP833\A0166981.exe

c:\windows\E80F62FF5D3C4A1984099721F2928206.TMP\WiseCustomCall.dll
04.07.2009 12:37 22016 \RP838\A0171592.dll

c:\windows\eagle1.exe
04.07.2009 14:32 53248 \RP838\A0171936.exe

c:\windows\Installer\{E80F62FF-5D3C-4A19-8409-9721F2928206}\IconE80F62FF.exe
03.07.2009 15:13 7406 \RP838\A0171594.exe

c:\windows\LastGood.Tmp\system32\DRIVERS\SymIM.sys
09.08.2007 18:27 31280 \RP838\A0171864.sys

c:\windows\system32\brastk.exe
\RP833\A0164981.exe
02.02.2009 18:04 144792 \RP834\A0171119.exe

c:\windows\system32\delself.bat
30.10.2008 23:27 114 \RP833\A0170021.bat

c:\windows\system32\drivers\srtsp.sys
31.07.2007 00:43 278576 \RP838\A0171809.sys

c:\windows\system32\drivers\srtspl.sys
31.07.2007 00:43 317616 \RP838\A0171806.sys

c:\windows\system32\drivers\srtspx.sys
31.07.2007 00:43 43696 \RP838\A0171803.sys

c:\windows\system32\drivers\symdns.sys
13.08.2007 14:50 13616 \RP838\A0171802.sys

c:\windows\system32\drivers\SYMEVENT.SYS
03.07.2009 15:15 123952 \RP838\A0171661.SYS

c:\windows\system32\drivers\symfw.sys
13.08.2007 14:50 96432 \RP838\A0171801.sys

c:\windows\system32\drivers\symids.sys
13.08.2007 14:50 38576 \RP838\A0171800.sys

c:\windows\system32\drivers\SymIM.sys
09.08.2007 18:27 31280 \RP838\A0171663.sys

c:\windows\system32\drivers\symndis.sys
13.08.2007 14:50 37424 \RP838\A0171799.sys

c:\windows\system32\drivers\symndisv.sys
13.08.2007 14:50 41008 \RP838\A0171798.sys

c:\windows\system32\drivers\symredrv.sys
13.08.2007 14:50 22320 \RP838\A0171795.sys

c:\windows\system32\drivers\symtdi.sys
13.08.2007 14:50 188464 \RP838\A0171794.sys

c:\windows\system32\java.exe
10.06.2008 01:21 135168 \RP835\A0171223.exe
10.06.2008 01:21 135168 \RP837\A0171451.exe

c:\windows\system32\javaw.exe
02.02.2009 18:04 144792 \RP834\A0171120.exe
10.06.2008 01:21 135168 \RP837\A0171452.exe

c:\windows\system32\javaws.exe
02.02.2009 18:04 148888 \RP836\A0171329.exe
10.06.2008 02:32 139264 \RP837\A0171453.exe

c:\windows\system32\Macromed\Common\SwSupport.dll
09.09.2004 00:09 53248 \RP838\A0171598.dll

c:\windows\system32\Macromed\Director\M5drvr32.exe
08.09.2004 22:35 330 \RP838\A0171610.exe

c:\windows\system32\Macromed\Director\M5if32.dll
08.09.2004 22:35 330 \RP838\A0171611.dll

c:\windows\system32\Macromed\Director\SwDir.dll
09.09.2004 15:49 54488 \RP838\A0171599.dll

c:\windows\system32\Macromed\Flash\NPSWF32.dll
05.10.2008 05:24 3695008 \RP838\A0171628.dll

c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
05.10.2008 05:24 235936 \RP838\A0171629.exe

c:\windows\system32\Macromed\Flash\uninstall_activeX.exe
10.03.2008 21:50 74649 \RP838\A0171630.exe

c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
14.11.2008 15:56 84661 \RP838\A0171631.exe

c:\windows\system32\Macromed\Shockwave 10\Control.dll
09.09.2004 00:05 503808 \RP838\A0171600.dll

c:\windows\system32\Macromed\Shockwave 10\dirapi.dll
08.09.2004 23:03 1495040 \RP838\A0171601.dll

c:\windows\system32\Macromed\Shockwave 10\Download.dll
09.09.2004 16:36 79048 \RP838\A0171612.dll

c:\windows\system32\Macromed\Shockwave 10\Download.exe
09.09.2004 16:36 58568 \RP838\A0171613.exe

c:\windows\system32\Macromed\Shockwave 10\DynaPlayer.dll
09.09.2004 00:05 24576 \RP838\A0171602.dll

c:\windows\system32\Macromed\Shockwave 10\iml32.dll
08.09.2004 22:52 630784 \RP838\A0171603.dll

c:\windows\system32\Macromed\Shockwave 10\Plugin.dll
09.09.2004 00:03 253952 \RP838\A0171604.dll

c:\windows\system32\Macromed\Shockwave 10\PluginPing.dll
09.09.2004 00:03 401408 \RP838\A0171605.dll

c:\windows\system32\Macromed\Shockwave 10\Proj.dll
08.09.2004 23:46 151552 \RP838\A0171606.dll

c:\windows\system32\Macromed\Shockwave 10\SwInit.exe
09.09.2004 00:09 77824 \RP838\A0171607.exe

c:\windows\system32\Macromed\Shockwave 10\SwMenu.dll
09.09.2004 00:02 86016 \RP838\A0171608.dll

c:\windows\system32\Macromed\Shockwave 10\SwOnce.dll
09.09.2004 00:09 98304 \RP838\A0171609.dll

c:\windows\system32\Macromed\Shockwave 10\UNWISE.EXE
25.06.1999 10:55 149504 \RP838\A0171615.EXE

c:\windows\system32\Macromed\Shockwave 8\Control.dll
16.01.2002 13:36 483328 \RP838\A0171618.dll

c:\windows\system32\Macromed\Shockwave 8\dirapi.dll
09.01.2002 02:54 1097728 \RP838\A0171619.dll

c:\windows\system32\Macromed\Shockwave 8\DynaPlayer.dll
09.01.2002 03:28 24576 \RP838\A0171620.dll

c:\windows\system32\Macromed\Shockwave 8\iml32.dll
09.01.2002 02:50 561152 \RP838\A0171621.dll

c:\windows\system32\Macromed\Shockwave 8\Plugin.dll
09.01.2002 03:26 245760 \RP838\A0171622.dll

c:\windows\system32\Macromed\Shockwave 8\PluginPing.dll
16.01.2002 16:35 380928 \RP838\A0171623.dll

c:\windows\system32\Macromed\Shockwave 8\Proj.dll
09.01.2002 03:13 151552 \RP838\A0171624.dll

c:\windows\system32\Macromed\Shockwave 8\QuitRemote.exe
01.03.2002 12:20 49152 \RP838\A0171617.exe

c:\windows\system32\Macromed\Shockwave 8\SwInit.exe
09.01.2002 03:38 77824 \RP838\A0171625.exe

c:\windows\system32\Macromed\Shockwave 8\SwMenu.dll
09.01.2002 03:25 90112 \RP838\A0171626.dll

c:\windows\system32\Macromed\Shockwave 8\SwOnce.dll
09.01.2002 03:38 94208 \RP838\A0171627.dll

c:\windows\system32\Macromed\Shockwave 8\UNWISE.EXE
01.03.2002 14:24 151040 \RP838\A0171632.EXE

c:\windows\system32\S32EVNT1.DLL
03.07.2009 15:15 60808 \RP838\A0171793.DLL

c:\windows\system32\sdra64.exe
04.08.2004 14:00 510464 \RP833\A0170037.exe

c:\windows\system32\SymNeti.dll
23.08.2007 17:57 577928 \RP838\A0171792.dll

c:\windows\system32\SymRedir.dll
23.08.2007 17:57 207240 \RP838\A0171791.dll

c:\windows\system32\TDSSarxx.dll
13.01.2009 15:07 29696 \RP833\A0169982.dll

c:\windows\system32\TDSScfbv.dll
13.01.2009 15:07 61440 \RP833\A0169984.dll

c:\windows\system32\TDSSdxcp.dll
03.07.2009 21:26 3727 \RP833\A0169985.dll

c:\windows\system32\TDSSoity.dll
13.01.2009 15:07 35840 \RP833\A0169981.dll

c:\windows\system32\TDSSvoql.dll
13.01.2009 15:07 31232 \RP833\A0169983.dll

c:\windows\system32\wini10801.exe
30.10.2008 23:15 80812 \RP833\A0170022.exe
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2004-11-11 49152]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2004-07-26 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2004-11-23 73728]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-04 266497]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [BU]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-07-22 88361]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2004-11-29 569405]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [02.01.2005 17:43 945152]
.
.
------- Scan Suplementar -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1854633
mStart Page = hxxp://www.google.com
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-04 14:39
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?????H???X??????|x??|????q??|?j?wQj?w????????(??? ???????????????`??????|????????l?????@????????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s??????7~??@?N'?s,o? ?=5@?8o?????????

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="0ECF926B93905B0C05F07010F93F864C565895D4286EB4BB7BE476464547211678EF541360BF670C418D2563EC3BAA40C0868184447AD01CDC34 A8DBBDCD50701F1F9535552E065F5C7B9B56638F2526F7E29EECDE91A827ADF2D1C0B97EEACB73AA90C1C113B3376824B4DC1D9C69434F1596A749664AD322A48653B877B6772C9263FD76 1A8CD4BA26B9415B3D0FEEDD77FBA3551F64B132023FC9404A9E55408A1183C8615590EFD15622E5BBD2147F9743A4DB524D5F1A755A29D87CAE5CEEFB7F3D13FBF3D563ACFEBC9E127BEC C74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678EDD5E5BE2F6E6675D575E7D6A3B9808A6171C11EC38DE3DF9 7F18DDFEADF2CBAC57F94DF73A66A03BC917B3A62C2ACBF006A2458D97A9A692661ADC8E853B48EFB57284C5E4D50180CF4D5BED4D4C1C9C823A36E30A9B73BD4913A5AA01CAD54FD55FBB 08DD573A14E84BADAE16B7C518F7AFBDF9B9E29FAD29A576B60E77130A9B31BCFD8762875FFC73A22001A3449374749FA0521703FE5AF502BC3159D54340DEC50BD8AEDBACCCACA61F188A C5A35C00154D1814292C04ABEEEBFD4E2601D0600B355E3CDB2CE6E119AAFCAC2C4065CE4C18DC7B5119A07354959F76402CADB433A7364D616F33824E67E38D0EC69A61E33E8CAFEE0982 00432F55B815958ADCD8B194E7F86FEA7F0F1D15F23776DA39F2A023D8A927CB82BB53EF3DC9EDF1DE0C46BFD4E5861B4F15376C692574D7DF03C432645D8074B7353F57F0B6CCBFC3CE7B 14A21DF5A76E14C559BE8BC91BDF10535F829A06C85919550484E62AA59B990E00A447DEC3DA2C7CE107CE617C498A18E227220D68A8451B06EE1C672774555A86F0C2C97A9678B31D1A0B 0D2CAFD7060B086D4FC56A0BBA7E68CAC51DE562E5416021A2A92903E638110F7FAC2BD1AFB825A7E92B68B20224ED1CEB360A94D457122738839C4CB7734C5B535456C4CFE13C305E326D F3E340C06A64F0FCB0740CE7CFBC0C7FC967A1EF29834FD271C10FD21B12CB4BFDF3B365C81C22E173B13108474A1FE561DE2C60E0EF9A410E88DCAF2F4EBA56F2EE6D26FAE6745E8CA12D 5CEE5A6964702B8F4CA25E0ACBC1477DDE6942186768AFF58FF87AE39A1CF9FB93DD4C6C16C67ADB20BF76C49DAC4637B276FBCE5AE73B6772EE724045BB952D205B64FE9B2822358F3F45 45E5DBF4E03C3CF39E11F0B46E643E4B2F8F7573643767C849944C995392DA3AD858D7E2E957D2011CEF74E7CF3F7BE9A9304936D752B187CAAAE07B8464032A25AD9744531D82632EDE58 425F9F6E91FBDF2925D2B2A00D55860489A60358CD1E9F0973B0ED4E39914AF755096514EFC6DCFBAA35D74DAD0DD64A272FB133C010EE0CEBAC6F680BD42520D5CA"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3436)
c:\windows\system32\IEFRAME.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\ati2evxx.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-07-04 14:44 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-07-04 12:44
ComboFix2.txt 2009-07-03 20:07

Pré-execução: 12 Verzeichnis(se), 29.887.455.232 Bytes frei
Pós execução: 12 Verzeichnis(se), 29.794.557.952 Bytes frei

981 --- E O F --- 2008-09-10 10:59

john.doe · 04.07.2009, 14:55

Gibt es eine Besserung?

Gibt es irgendeinen Schädling, den du noch nicht auf dem Rechner hattest?

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere:

Adobe Reader 7.0.9 - Deutsch
Skype™ 3.2

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, F2, O2, O3, O8, O9, O14, O16 und O20-Einträge

=> Fix checked => Neustart

5.) Lade dir den Regseeker

Klick auf Clean the registry
Klick auf OK
Warte bis er fertig gesucht hat
Klick auf Select => markiere nur die Grünen
Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen Grünen gefunden werden.

6.) Poste neue RSIT-Logs.

ciao, andreas

Sarah108 · 04.07.2009, 18:24

So. Endlich einigermassen geschafft.

Ähm, ich muss zugeben, dass ich ziemlich nachlässig war meinen Computer zu schützen...

Es hat sich auf jeden Fall verbessert. Ich habe wieder Zugriff auf alle Homepages und werde auch nicht mehr auf andere Homepages umgeleitet, wenn ich auf einen Link klicke.
Nur ab und zu wird immer noch versucht eine andere Internetverbindung aufzubauen.

Aber ich habe Probleme Java und Skype zu installieren. Bei Skype bekomme ich eine Meldung, dass die Verbindung zum Skype-Server gestört ist, und wenn ich den alternativen Downloadweg anwähle, wird wieder versucht, eine andere Internetverbindung aufzubauen.
Die Java .exe-Datei konnte ich herunterladen, aber beim Installieren dauerts ewig und hängt sich dann auf. In C:\Programme hab ich einen Java Ordner gefunden, aber ansonsten taucht das Programm nirgends auf und die Java-Probe auf der Java-Homepage funktioniert auch nicht.

Habe ansonsten alles gemacht, was du gesagt hast. Beim Reg-Cleaner tauchen jetzt immer wieder die selben 18 "Grünen" auf.
Nachdem RSIT gelaufen ist, hat sich aber nur der log.txt erstellt. Ich habe sogar den RSIT neu heruntergeladen, aber mit dem selben Ergebnis.

Hier der log.txt:

[Logfile of random's system information tool 1.06 (written by random/random)
Run by Sarah at 2009-07-04 18:59:34
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 29 GB (61%) free of 47 GB
Total RAM: 511 MB (24% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:35, on 04.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sarah\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Sarah.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - (no file)
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - (no file)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4783 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LaunchAp"=C:\Programme\Launch Manager\LaunchAp.exe [2004-08-06 32768]
"HotkeyApp"=C:\Programme\Launch Manager\HotkeyApp.exe [2004-11-11 49152]
"LMgrOSD"=C:\Programme\Launch Manager\OSD.exe [2004-07-26 204800]
"Wbutton"=C:\Programme\Launch Manager\Wbutton.exe [2004-11-23 73728]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-07-22 88361]
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-10-05 98394]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-10-05 688218]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-08-04 266497]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe [2007-03-29 222128]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
bthprops.cpl,,BluetoothAuthenticationAgent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C86 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2R1.EXE [2003-11-25 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2005-01-11 118926]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe [2004-11-02 32768]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll [2006-08-28 5906432]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"ForceClassicControlPanel"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe"="%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe:*:enabled:BTTray"
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe"="C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe"="%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe:*:enabled:BTTray"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

======List of files/folders created in the last 1 months======

2009-07-04 18:19:15 ----D---- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Foxit
2009-07-04 18:19:14 ----D---- C:\Programme\Foxit Software
2009-07-04 15:02:58 ----SHD---- C:\RECYCLER
2009-07-04 14:45:00 ----A---- C:\ComboFix.txt
2009-07-04 14:37:32 ----D---- C:\WINDOWS\temp
2009-07-04 14:22:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-07-04 13:07:57 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
2009-07-04 12:47:32 ----A---- C:\WINDOWS\_MSRSTRT.EXE
2009-07-03 22:09:52 ----D---- C:\rsit
2009-07-03 21:41:11 ----A---- C:\WINDOWS\zip.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\SWSC.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\SWREG.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\sed.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\PEV.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\NIRCMD.exe
2009-07-03 21:41:11 ----A---- C:\WINDOWS\grep.exe
2009-07-03 21:32:30 ----D---- C:\WINDOWS\ERDNT
2009-07-03 21:32:07 ----D---- C:\Qoobox
2009-07-03 20:38:28 ----SHD---- C:\Config.Msi
2009-07-03 16:30:41 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-26 13:28:23 ----D---- C:\Programme\Trend Micro
2009-06-24 14:51:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-06-24 14:51:45 ----D---- C:\Programme\Security Task Manager
2009-06-19 12:04:33 ----D---- C:\Programme\temp
2009-06-09 13:53:36 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
2009-06-08 00:34:55 ----D---- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Macrovision
2009-06-06 20:03:00 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
2009-06-06 20:01:27 ----D---- C:\Programme\Vodafone
2009-06-06 20:01:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision

======List of files/folders modified in the last 1 months======

2009-07-04 18:55:24 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-04 18:35:14 ----D---- C:\Programme\Mozilla Firefox
2009-07-04 18:33:46 ----A---- C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt
2009-07-04 18:32:40 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-04 18:23:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-04 18:19:14 ----RD---- C:\Programme
2009-07-04 18:01:53 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-07-04 18:00:02 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-04 17:59:55 ----D---- C:\WINDOWS\system32
2009-07-04 17:59:50 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-04 17:59:47 ----HD---- C:\WINDOWS\inf
2009-07-04 17:51:51 ----SHD---- C:\WINDOWS\Installer
2009-07-04 17:51:46 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-04 17:43:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-07-04 14:45:03 ----D---- C:\WINDOWS\system32\drivers
2009-07-04 14:40:06 ----D---- C:\WINDOWS
2009-07-04 14:40:06 ----A---- C:\WINDOWS\system.ini
2009-07-04 14:37:52 ----D---- C:\WINDOWS\system32\config
2009-07-04 14:37:20 ----SD---- C:\WINDOWS\Tasks
2009-07-04 14:35:38 ----D---- C:\WINDOWS\AppPatch
2009-07-04 14:33:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-04 13:03:39 ----D---- C:\Programme\Google
2009-07-04 12:47:21 ----D---- C:\WINDOWS\system32\Macromed
2009-07-04 12:37:22 ----D---- C:\Programme\Java
2009-07-04 12:29:01 ----D---- C:\WINDOWS\Prefetch
2009-07-03 15:08:04 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-03 13:41:57 ----D---- C:\Programme\Launch Manager
2009-07-03 00:11:11 ----D---- C:\Programme\PokerStars
2009-07-01 20:22:20 ----HD---- C:\LG3G
2009-07-01 20:19:11 ----A---- C:\WINDOWS\NeroDigital.ini
2009-06-24 14:17:14 ----D---- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Skype

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 Hotkey;Hotkey; C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 BTSERIAL;Bluetooth Serial Driver; \??\C:\WINDOWS\system32\drivers\btserial.sys []
R2 BTSLBCSP;Bluetooth Port Client Driver; \??\C:\WINDOWS\system32\drivers\btslbcsp.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424]
R3 AgereSoftModem;Creatix 2.0 AC'97 Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-07-22 1268234]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-12-01 2300928]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2004-12-21 909824]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2004-05-26 44928]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2004-11-29 1337850]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-04 28672]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-10-05 185824]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2004-05-27 67584]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2004-01-16 17408]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2005-07-25 101504]
S1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2005-07-25 29696]
S1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2005-07-25 28672]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S1 Wbutton;Wbutton; C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 945152]
S3 Bridge;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-04 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-04 71552]
S3 BthEnum;Bluetooth-Auflistungsdienst; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2004-08-04 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2004-08-03 100992]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-04 18944]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2004-11-29 55320]
S3 catchme;catchme; \??\C:\DOKUME~1\Sarah\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2003-05-01 5220]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-11-05 101120]
S3 Jukebox3;Jukebox3; C:\WINDOWS\system32\DRIVERS\ctpdusb.sys [2003-10-23 16848]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-04 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 OVT511Plus;Dual Mode USB Camera Plus; C:\WINDOWS\System32\Drivers\omcamvid.sys [2001-09-18 167816]
S3 QV2KUX;Casio-Digitalkamera; C:\WINDOWS\system32\DRIVERS\qv2kux.sys [2001-08-17 3328]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2004-08-04 59648]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 SymIM;Symantec Network Security Intermediate Filter Service; C:\WINDOWS\system32\DRIVERS\SymIM.sys []
S3 SymIMMP;SymIMMP; C:\WINDOWS\system32\DRIVERS\SymIM.sys []
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbbus;LGE Mobile Composite USB Device; C:\WINDOWS\system32\DRIVERS\lgusbbus.sys [2007-07-11 12416]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
S3 UsbDiag;LGE Mobile USB Serial Port; C:\WINDOWS\system32\DRIVERS\lgusbdiag.sys [2007-07-11 19840]
S3 USBModem;LGE Mobile USB Modem; C:\WINDOWS\system32\DRIVERS\lgusbmodem.sys [2007-07-11 21632]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2004-08-11 18944]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 X10UIF;%DESCRIPTION%; C:\WINDOWS\System32\Drivers\x10uif.sys []
S3 ZSMC301b;Vimicro USB PC Camera (ZC0301PL); C:\WINDOWS\System32\Drivers\usbVM31b.sys [2006-03-10 194933]
S4 s24trans;WLAN Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Scheduler; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-31 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-31 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2004-12-21 425984]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2004-11-29 254007]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-01-11 184398]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-01-11 110668]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe [2005-01-11 24576]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-02 152984]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-01-20 73728]
R2 PSI_SVC_2;Protexis Licensing V2; c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]

-----------------EOF-----------------]

john.doe · 04.07.2009, 19:16

Zitat:

Es hat sich auf jeden Fall verbessert. Ich habe wieder Zugriff auf alle Homepages und werde auch nicht mehr auf andere Homepages umgeleitet, wenn ich auf einen Link klicke.

Zitat:

Nur ab und zu wird immer noch versucht eine andere Internetverbindung aufzubauen.

Wann genau?

Start => Einstellungen => Systemsteuerung => Internetoptionen => Karte: Verbindungen

Ist im weißen Feld (VPN und Wählverbindungen) etwas eingetragen? Falls ja => Markieren => Entfernen

Dann löschen wir eben munter weiter.

1.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
catchme
SymIM
SymIMMP

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=-
"ctfmon.exe"=-

File::
C:\WINDOWS\PEV.exe
c:\windows\_MSRSTRT.EXE
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\wklnhst.dat
c:\programme\Gemeinsame Dateien\inyfak.reg
c:\programme\Gemeinsame Dateien\onocazu.scr
c:\programme\Gemeinsame Dateien\ijinogiqa.bin
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt

Folder::
C:\WINDOWS\system32\Macromed
C:\WINDOWS\Downloaded Program Files
C:\Config.Msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
C:\rsit
c:\windows\Installer
c:\32788r22fwjfw
c:\windows\E80F62FF5D3C4A1984099721F2928206.TMP
c:\windows\system32\Macromed

DirLook::
C:\LG3G
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Macrovision
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
c:\programme\Launch Manager

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

2.) Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Sarah108 · 04.07.2009, 21:12

Die Verbindungsversuche passieren für mich eigentlich aus total unerklärlichen Gründen. Manchmal wenn ich gar nichts gemacht habe, und manchmal wenn ich versucht habe eine Seite neu zu laden.
Auf jeden Fall war wirklich was in der "Verbindungs-Karte" und ich habs gelöscht.

Die log-file der nächsten Lösch-aktion

:

ComboFix 09-07-02.02 - Sarah 04.07.2009 21:43.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.55.1031.18.511.182 [GMT 2:00]
Executando de: c:\dokumente und einstellungen\Sarah\Desktop\combi.exe
Comandos utilizados :: c:\dokumente und einstellungen\Sarah\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00D9-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-06-04 to 2009-07-04 ))))))))))))))))))))))))))))
.

2009-07-04 16:19 . 2009-07-04 16:19 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Foxit
2009-07-04 16:19 . 2009-07-04 16:19 -------- d-----w- c:\programme\Foxit Software
2009-07-04 12:22 . 2009-07-04 12:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-07-04 10:47 . 2009-07-04 10:47 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-07-03 20:09 . 2009-07-03 20:09 -------- d-----w- C:\rsit
2009-07-03 14:30 . 2009-07-03 15:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-26 11:28 . 2009-06-26 11:28 -------- d-----w- c:\programme\Trend Micro
2009-06-24 12:51 . 2009-06-24 12:51 58 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_407E50F76A03A124797AE8BEC1F70F01.dll
2009-06-24 12:51 . 2009-06-24 12:51 228 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_14B934FB2520ED84B8B84003BC621A18.dll
2009-06-24 12:51 . 2009-06-24 12:51 170 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_1181675B3F8275245B7318C5E5FE74C2.dll
2009-06-24 12:51 . 2009-06-24 12:51 149 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_2F22CF11285FDE047B78C2F1CD40BCB3.dll
2009-06-24 12:51 . 2009-06-24 12:51 125 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_3B79C053C7D38EE4AB9A00CB3B5D2472.dll
2009-06-24 12:51 . 2009-06-24 12:51 1172 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_185BD972C93231E4798FF0844EB07EC5.dll
2009-06-24 12:51 . 2009-06-24 12:51 2054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0F8F8F82872CA4545970643B44AA1D88.dll
2009-06-24 12:51 . 2009-06-24 12:51 2056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_06AFB87E393583C428BA8E10E964E44B.dll
2009-06-24 12:51 . 2009-06-24 12:51 152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0E23E40C6140D434FA9B96967D309AFE.dll
2009-06-24 12:51 . 2009-06-24 12:51 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_07B6A1D320E3CB94880B19C608726423.dll
2009-06-24 12:51 . 2009-07-03 11:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-06-24 12:51 . 2009-06-24 14:25 -------- d-----w- c:\programme\Security Task Manager
2009-06-19 10:04 . 2009-06-19 10:04 -------- d-----w- c:\programme\temp
2009-06-07 22:34 . 2009-06-07 22:34 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Macrovision
2009-06-06 18:01 . 2007-11-05 09:56 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
2009-06-06 18:01 . 2009-06-06 18:01 -------- d-----w- c:\programme\Vodafone
2009-06-06 18:01 . 2009-06-06 18:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
2009-06-06 18:00 . 2009-06-06 18:00 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-04 16:23 . 2005-10-29 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-04 15:43 . 2006-11-24 13:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-07-04 12:33 . 2004-12-28 23:59 64782 ----a-w- c:\windows\system32\perfc007.dat
2009-07-04 12:33 . 2004-12-28 23:59 392806 ----a-w- c:\windows\system32\perfh007.dat
2009-07-04 11:03 . 2005-01-02 10:31 -------- d-----w- c:\programme\Google
2009-07-04 10:37 . 2005-01-01 18:16 -------- d-----w- c:\programme\Java
2009-07-03 21:11 . 2005-02-24 13:29 55200 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\wklnhst.dat
2009-07-03 11:41 . 2004-12-28 18:58 -------- d-----w- c:\programme\Launch Manager
2009-07-02 22:11 . 2009-03-26 14:33 -------- d-----w- c:\programme\PokerStars
2009-06-24 12:17 . 2005-04-14 13:22 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Skype
2009-06-08 14:39 . 2007-04-21 18:42 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-26 10:53 . 2006-01-03 14:07 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\OpenOffice.org2
2009-05-25 13:45 . 2009-03-09 14:36 5642 --sha-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-05-25 13:45 . 2009-03-09 14:36 5642 --sha-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-05-25 13:45 . 2009-03-09 14:36 168 --sh--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\3FCCE746AB.sys
2009-05-25 13:45 . 2009-03-09 14:36 168 --sh--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\3FCCE746AB.sys
2009-05-13 11:24 . 2009-05-13 11:24 -------- d-----w- c:\programme\Ares
2009-05-07 11:47 . 2009-05-07 11:47 -------- d-----w- c:\programme\CCleaner
2008-10-30 21:17 . 2008-10-30 21:17 15835 ----a-w- c:\programme\Gemeinsame Dateien\inyfak.reg
2008-10-30 21:17 . 2008-10-30 21:17 14951 ----a-w- c:\programme\Gemeinsame Dateien\onocazu.scr
2008-10-30 21:17 . 2008-10-30 21:17 11530 ----a-w- c:\programme\Gemeinsame Dateien\ijinogiqa.bin
2005-01-02 10:31 . 2005-01-02 10:31 8 --sh--r- c:\windows\system32\571AC95229.sys
2009-03-09 14:16 . 2005-01-02 10:31 7518 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2004-11-11 49152]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2004-07-26 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2004-11-23 73728]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-04 266497]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-07-22 88361]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2004-11-29 569405]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [02.01.2005 17:43 945152]
.
.
------- Scan Suplementar -------
.
mStart Page = hxxp://www.google.com
FF - ProfilePath - c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-04 21:48
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\Ahead\Nero - Burning Rom\Settings\NeroIsoListView]
@DACL=(02 0000)
@SACL=
"FILENAME"="0,236,0,1"
"FILESIZE"="1,90,1,1"
"FILETYPE"="2,60,0,1"
"FILEDATE"="3,70,0,1"
"FILEORIGIN"="4,150,0,1"
"FILEATTRIBUTE"="5,60,0,0"
"FILEPRIORITY"="6,80,0,0"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\America Online\ygp3]
@DACL=(02 0000)
@SACL=

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\CyberLink\PowerDirector\3.2\Recording]
@DACL=(02 0000)
@SACL=
"VideoDevice"="MEDION BDA Analog Capture"
"AudioDevice"="Realtek AC97 Audio"
"VideoSource"=dword:00000000
"TunerType"=dword:00000000
"Channel"=dword:00000004
"DeviceIsUSB"=hex:00,00,00,00
"ProfileName"="Bessere Qualität MPEG-2 (schnell)"
"AutoNaming"=hex:01,00,00,00
"AddStoryboard"=hex:01,00,00,00
"AddLibrary"=hex:01,00,00,00
"UseOverlay"=hex:01,00,00,00
"ProfileType"=dword:00000004
"CaptureFileName"="Capture"
"SnapShotFileExtension"=hex:06,00,00,00
"AutoFileReplace"=hex:01,00,00,00
"CaptureFilePrompt"=hex:01,00,00,00
"SnapshotFilePrompt"=hex:01,00,00,00
"SceneDetect"=dword:00000000
"AudioRecLine"=dword:00000005
"AnalogAudioRecLine"=dword:00000004
"DivxProfile"=hex:00,00,00,00
"TunerAudio"=hex:00,00,00,00
"Brightness"=hex:32,00,00,00
"Contrast"=hex:4c,00,00,00
"Hue"=hex:32,00,00,00
"Saturation"=hex:4b,00,00,00
"Sharpness"=hex:35,00,00,00
"CountryCode"=hex:31,00,00,00
"CountryName"="Germany"
"VideoFormatTuner"=dword:00000010
"VideoFormatNonTuner"=dword:00000010
"LastType"=dword:00000000

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\CyberLink\PowerDirector\3.2\Recording AuProfile]
@DACL=(02 0000)
@SACL=
"0"="1"
"1"="2"
"2"="44100"
"3"="176400"
"4"="4"
"5"="16"
"6"="0"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\CyberLink\PowerProducer\3.0\Player]
@DACL=(02 0000)
@SACL=
"UIVMode"=dword:00000004

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\HotkeyPanel\1]
@DACL=(02 0000)
@SACL=
"Name"="c:\\Programme\\Launch Manager\\hotkey.html"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\HotkeyPanel\11]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Microsoft Word.lnk\""
"NameDesc"="Microsoft Word"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\HotkeyPanel\31]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Outlook Express\\msimn.exe\""
"NameDesc"="E-Mail"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\HotkeyPanel\36]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Internet Explorer\\iexplore.exe\""
"NameDesc"="WWW"

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\Local AppWizard-Generated Applications\LaunchAp]
@DACL=(02 0000)
@SACL=

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\Local AppWizard-Generated Applications\MMDiag]
@DACL=(02 0000)
@SACL=

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\Local AppWizard-Generated Applications\Wbutton]
@DACL=(02 0000)
@SACL=

[HKEY_USERS\S-1-5-21-1595774805-2319105045-1459769699-1008\Software\RealNetworks\RealJukebox]
@Class="REG_SZ"
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\ATI-Treiber]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07F48D44-F1F0-490B-96CD-EE8841D1F409}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{13F349B9-62B5-49AE-BAFE-94B8A58D5B92}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{17EE5D1C-A2FB-44CB-84FC-8F30DB69EF8B}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1859075C-747A-46EF-A358-F99F127BA626}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2BF17481-EAC9-4916-9C08-2DCF9E158CB0}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{44632F70-1920-494A-9D4B-F5FDE442A984}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4484E265-D3C0-4E2A-AA3A-108DBE0335FC}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{504C17B3-435F-4AA3-9D11-E18BE72CDFE6}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{53BA84DF-97F6-448D-8DCD-BA16D7C5215C}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{CDF86C25-C65A-4ABB-B620-26411BF85FC3}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EF585A09-6616-45BB-BF02-2D12E195D318}\Implemented Categories\{390f9e99-171d-4a3b-a185-a0e495ba86d0}]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\HotkeyPanel\1]
@DACL=(02 0000)
@SACL=
"Name"="c:\\Programme\\Launch Manager\\hotkey.html"

[HKEY_LOCAL_MACHINE\software\HotkeyPanel\11]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Launch Manager\\fn.exe\""
"NameDesc"="Launch Manager"

[HKEY_LOCAL_MACHINE\software\HotkeyPanel\12]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Launch Manager\\fn.exe\""
"NameDesc"="Launch Manager"

[HKEY_LOCAL_MACHINE\software\HotkeyPanel\31]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Outlook Express\\msimn.exe\""
"NameDesc"="E-Mail"

[HKEY_LOCAL_MACHINE\software\HotkeyPanel\36]
@DACL=(02 0000)
@SACL=
"Name"="\"c:\\Programme\\Internet Explorer\\iexplore.exe\""
"NameDesc"="WWW"

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.BrowseUI\RegBackup]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ADDON_MANAGEMENT]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RESTRICT_ACTIVEXINSTALL]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RESTRICT_FILEDOWNLOAD]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001
"msimn.exe"=dword:00000001
"winmail.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SECURITYBAND]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_UNC_SAVEDFILECHECK]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_VALIDATE_NAVIGATE_URL]
@DACL=(02 0000)
@SACL=
"WMPlayer.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\10.0]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Automenu]
@DACL=(02 0000)
@SACL=
"classid"="clsid:6B28F900-8D64-4B80-9963-CC52DDD1FBB4"
"visible"="false"
"tabstop"="false"
"width"="1"
"height"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\BalanceSlider]
@DACL=(02 0000)
@SACL=
"classid"="clsid:F2BF2C90-405F-11D3-BB39-00A0C93CA73A"
"toolTip"="res://wmploc.dll/RT_STRING/#1845"
"min"="-100"
"max"="100"
"value"="wmpprop

layer.settings.balance"
"value_onchange"="player.settings.balance=value;"
"accName"="res://wmploc.dll/RT_STRING/#2112"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2108"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\browser]
@DACL=(02 0000)
@SACL=
"classid"="clsid:8856F961-340A-11D0-A96B-00C04FD705A2"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Button]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2114"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ButtonGroup]
@DACL=(02 0000)
@SACL=
"classid"="clsid:AE3B6831-25A9-11d3-BD41-00C04F6EA5AE"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\CloseButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"upToolTip"="res://wmploc.dll/RT_STRING/#1812"
"onclick"="view.close();"
"accName"="res://wmploc.dll/RT_STRING/#2134"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2135"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\CurrentPositionText]
@DACL=(02 0000)
@SACL=
"classid"="clsid

DDA102E-0E17-11D3-A2E2-00C04F79F88E"
"tabStop"="true"
"justification"="right"
"value"="wmpprop

layer.controls.currentPositionString"
"accName"="res://wmploc.dll/RT_STRING/#2103"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\CustomSlider]
@DACL=(02 0000)
@SACL=
"classid"="clsid:95F45AA3-ED0A-11D2-BA67-0000F80855E6"
"cursor"="hand"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\DropDownPlaylist]
@DACL=(02 0000)
@SACL=
"classid"="clsid:5F9CFD93-8CAD-11d3-9A7E-00C04F8EFB70"
"playlistItemsVisible"="false"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\DurationText]
@DACL=(02 0000)
@SACL=
"classid"="clsid

DDA102E-0E17-11D3-A2E2-00C04F79F88E"
"tabStop"="true"
"justification"="right"
"value"="wmpprop

layer.currentMedia.DurationString"
"accName"="res://wmploc.dll/RT_STRING/#2104"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\EditBox]
@DACL=(02 0000)
@SACL=
"classid"="clsid:6342FCED-25EA-4033-BDDB-D049A14382D3"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Alchemy]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Ambience]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Bars]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Dotplane]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Plenoptic]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Effects\Spikes]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\EqualizerSettings]
@DACL=(02 0000)
@SACL=
"classid"="clsid:93EB32F5-87B1-45ad-ACC6-0F2483DB83BB"
"tabStop"="false"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\FFWDButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.fastforward"
"upToolTip"="res://wmploc.dll/RT_STRING/#1804"
"onclick"="player.controls.FastForward()"
"accName"="res://wmploc.dll/RT_STRING/#2120"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2121"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ImageButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"cursor"="hand"
"accName"="res://wmploc.dll/RT_STRING/#2140"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ItemsPlaylist]
@DACL=(02 0000)
@SACL=
"classid"="clsid:5F9CFD93-8CAD-11d3-9A7E-00C04F8EFB70"
"backgroundcolor"="black"
"foregroundcolor"="white"
"columnsVisible"="false"
"columns"="name=Name;Duration=Time"
"dropDownVisible"="false"

Sarah108 · 04.07.2009, 21:14

und Teil 2 der Löschaktion (die Antworten deiner restlichen Anweisungen poste ich auch gleich):

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\LibraryTree]
@DACL=(02 0000)
@SACL=
"classid"="clsid

9DE732A-AEE9-4503-9D11-5605589977A8"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ListBox]
@DACL=(02 0000)
@SACL=
"classid"="clsid:FC1880CF-83B9-43A7-A066-C44CE8C82583"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\menu]
@DACL=(02 0000)
@SACL=
"classid"="clsid:BAB3768B-8883-4AEC-9F9B-E14C947913EF"
"visible"="false"
"tabstop"="false"
"width"="1"
"height"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\MinimizeButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"upToolTip"="res://wmploc.dll/RT_STRING/#1811"
"onclick"="view.minimize();"
"accName"="res://wmploc.dll/RT_STRING/#2132"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2133"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\MuteButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"upToolTip"="res://wmploc.dll/RT_STRING/#1807"
"downToolTip"="res://wmploc.dll/RT_STRING/#1808"
"sticky"="true"
"down"="wmpprop

layer.settings.mute"
"onClick"="player.settings.mute=down;"
"accName"="res://wmploc.dll/RT_STRING/#2130"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2131"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\NextButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.next"
"upToolTip"="res://wmploc.dll/RT_STRING/#1806"
"onclick"="player.controls.Next()"
"accName"="res://wmploc.dll/RT_STRING/#2124"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2125"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\PauseButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.pause"
"upToolTip"="res://wmploc.dll/RT_STRING/#1801"
"onclick"="player.controls.pause()"
"accName"="res://wmploc.dll/RT_STRING/#2116"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2117"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\PlayButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.play"
"upToolTip"="res://wmploc.dll/RT_STRING/#1800"
"onclick"="player.controls.play()"
"accName"="res://wmploc.dll/RT_STRING/#2115"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2117"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Playlist]
@DACL=(02 0000)
@SACL=
"classid"="clsid:5F9CFD93-8CAD-11d3-9A7E-00C04F8EFB70"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\plugin]
@DACL=(02 0000)
@SACL=
"classid"="clsid:AA1AC37B-49A8-4B41-AF69-B0176C5FFC33"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\PopUp]
@DACL=(02 0000)
@SACL=
"classid"="clsid:FC1880CF-83B9-43A7-A066-C44CE8C82583"
"popup"="true"
"visible"="false"
"backgroundColor"="menu"
"foregroundColor"="menutext"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\PrevButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.previous"
"upToolTip"="res://wmploc.dll/RT_STRING/#1805"
"onclick"="player.controls.Previous()"
"accName"="res://wmploc.dll/RT_STRING/#2126"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2127"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ProgressBar]
@DACL=(02 0000)
@SACL=
"classid"="clsid:F2BF2C90-405F-11D3-BB39-00A0C93CA73A"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\RepeatButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"upToolTip"="res://wmploc.dll/RT_STRING/#1816"
"downToolTip"="res://wmploc.dll/RT_STRING/#1817"
"sticky"="true"
"down"="jscript

layer.settings.GetMode(\"loop\");"
"onClick"="player.settings.setMode(\"loop\", down);"
"accName"="res://wmploc.dll/RT_STRING/#2138"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2139"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ReturnButton]
@DACL=(02 0000)
@SACL=
"upToolTip"="res://wmploc.dll/RT_STRING/#1813"
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"onclick"="view.returnToMediaCenter();"
"accName"="res://wmploc.dll/RT_STRING/#2128"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2129"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\REWButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.fastreverse"
"upToolTip"="res://wmploc.dll/RT_STRING/#1803"
"onclick"="player.controls.FastReverse()"
"accName"="res://wmploc.dll/RT_STRING/#2122"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2123"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\SeekSlider]
@DACL=(02 0000)
@SACL=
"classid"="clsid:F2BF2C90-405F-11D3-BB39-00A0C93CA73A"
"toolTip"="res://wmploc.dll/RT_STRING/#1809"
"min"="0"
"max"="wmpprop

layer.currentmedia.duration"
"value"="wmpprop

layer.controls.currentposition"
"ondragend"="player.controls.currentposition=value;"
"foregroundProgress"="wmpprop

layer.network.downloadProgress"
"useForegroundProgress"="true"
"accName"="res://wmploc.dll/RT_STRING/#2109"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2108"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\ShuffleButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"upToolTip"="res://wmploc.dll/RT_STRING/#1814"
"downToolTip"="res://wmploc.dll/RT_STRING/#1815"
"sticky"="true"
"down"="jscript

layer.settings.GetMode(\"shuffle\");"
"onClick"="player.settings.setMode(\"shuffle\", down);"
"accName"="res://wmploc.dll/RT_STRING/#2136"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2137"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Slider]
@DACL=(02 0000)
@SACL=
"classid"="clsid:F2BF2C90-405F-11D3-BB39-00A0C93CA73A"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2108"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\StatusText]
@DACL=(02 0000)
@SACL=
"classid"="clsid

DDA102E-0E17-11D3-A2E2-00C04F79F88E"
"tabStop"="true"
"value"="wmpprop

layer.status"
"accName"="res://wmploc.dll/RT_STRING/#2102"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\StopButton]
@DACL=(02 0000)
@SACL=
"classid"="clsid:87291B51-0C8E-11D3-BB2A-00A0C93CA73A"
"enabled"="wmpenabled

layer.controls.stop"
"upToolTip"="res://wmploc.dll/RT_STRING/#1802"
"onclick"="player.controls.stop()"
"accName"="res://wmploc.dll/RT_STRING/#2118"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2119"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\taskcenter]
@DACL=(02 0000)
@SACL=
"classid"="clsid:395BF287-6477-495f-8427-2C09A23C3248"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Text]
@DACL=(02 0000)
@SACL=
"classid"="clsid

DDA102E-0E17-11D3-A2E2-00C04F79F88E"
"tabStop"="false"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\TrackNameText]
@DACL=(02 0000)
@SACL=
"classid"="clsid

DDA102E-0E17-11D3-A2E2-00C04F79F88E"
"tabStop"="true"
"value"="wmpprop

layer.currentmedia.name"
"accName"="res://wmploc.dll/RT_STRING/#2105"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\Video]
@DACL=(02 0000)
@SACL=
"classid"="clsid:61CECF11-FC3A-11D2-A1CD-005004602752"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\VideoSettings]
@DACL=(02 0000)
@SACL=
"classid"="clsid:AE7BFAFE-DCC8-4a73-92C8-CC300CA88859"
"tabStop"="false"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\VolumeSlider]
@DACL=(02 0000)
@SACL=
"classid"="clsid:F2BF2C90-405F-11D3-BB39-00A0C93CA73A"
"min"="0"
"max"="100"
"value"="wmpprop

layer.settings.volume"
"value_onchange"="if (value!=player.settings.volume){player.settings.volume=value;player.settings.mute=false;}"
"toolTip"="res://wmploc.dll/RT_STRING/#1810"
"accName"="res://wmploc.dll/RT_STRING/#2110"
"accKeyboardShortcut"="res://wmploc.dll/RT_STRING/#2111"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\WMPEffects]
@DACL=(02 0000)
@SACL=
"classid"="clsid:47DEA830-D619-4154-B8D8-6B74845D6A2D"
"tabStop"="false"
"width"="250"
"height"="200"
"horizontalAlignment"="stretch"
"verticalAlignment"="stretch"
"currentEffectType"="wmpprop:mediacenter.effectType"
"currentPreset"="wmpprop:mediacenter.effectPreset"
"currentEffectType_onchange"="mediacenter.effectType = currentEffectType;"
"currentPreset_onchange"="mediacenter.effectPreset = currentPreset;"
"onclick"="next();"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Objects\WMPVideo]
@DACL=(02 0000)
@SACL=
"classid"="clsid:61CECF11-FC3A-11D2-A1CD-005004602752"
"horizontalAlignment"="stretch"
"verticalAlignment"="stretch"
"zoom"="wmpprop:mediacenter.videoZoom"
"stretchToFit"="wmpprop:mediacenter.videoStretchToFit"
"backgroundColor"="black"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\services]
@DACL=(02 0000)
@SACL=
"NoServices"=dword:00000000

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Settings]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{0890F930-4F80-4646-BAB1-4B6E5571FB89}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1491"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{1F32514F-1561-4922-A604-8A1F478B5A42}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1495"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{52903d79-f993-4de6-8317-20c9c176d823}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1496"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{59E7BF52-E5C9-4382-A39A-522DEE9AFDFD}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1497"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{5DF031B7-6A37-42D9-8802-E27F4F224332}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000003
"FriendlyName"="Viz Plug-in"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{5F4BB5C9-4652-489B-8601-EEC0C3C32E2E}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1494"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{7F2B1D6B-1357-402C-A1C8-67E59583B41D}]
@DACL=(02 0000)
@SACL=
"Description"="Captions plugin description"
"Capabilities"=dword:000000f0
"FriendlyName"="Captions plugin name"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{93075F62-16B3-43EC-A53B-FFAD0E01D5E7}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000003
"FriendlyName"="res://wmploc.dll/RT_STRING/#209"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{9695AEF9-9D03-4671-8F2F-FF49D1BB01C4}]
@DACL=(02 0000)
@SACL=
"Description"="Media Information description"
"Capabilities"=dword:00000005
"FriendlyName"="res://wmploc.dll/RT_STRING/#1407"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{976ABECA-93F7-4d81-9187-2A6137829675}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1490"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{99DB05E3-F81E-4C8A-A252-F396306AB6FE}]
@DACL=(02 0000)
@SACL=
"Description"="Banner plugin description"
"Capabilities"=dword:000000f0
"FriendlyName"="Banner plugin name"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{9F9562EB-15B6-46C6-A7CB-0A66FC65130E}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1493"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{9FA014E3-076F-4865-A73C-117131B8E292}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000004
"FriendlyName"="res://wmploc.dll/RT_STRING/#1492"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{D5E49195-ED19-40fb-9EE0-E6625A808B77}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000003
"FriendlyName"="Video Plug-in"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{E641D09E-E500-4c09-8260-F1CD7B902E9C}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="WM View plugin name"
"Description"="WM View plugin description"
"Capabilities"=dword:000000f0

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{F24A1BC2-2331-4B91-8A13-5A549DA56E9D}]
@DACL=(02 0000)
@SACL=
"Capabilities"=dword:00000003
"FriendlyName"="Border Plug-in"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{FD981763-B6BB-4d51-9143-6D372A0ED56F}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="res://wmploc.dll/RT_STRING/#5822"
"Description"="res://wmploc.dll/RT_STRING/#5823"
"Capabilities"=dword:00000003

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{077ACEC7-979C-40AB-9835-435BA1511E0D}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{077ACEC7-979C-40AB-9835-435BA1511E0D}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{077ACEC7-979C-40AB-9835-435BA1511E0D}\\MPPRE10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{077ACEC7-979C-40AB-9835-435BA1511E0D}\\mppre10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{30C7234B-6482-4A55-A11D-ECD9030313F2}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{30C7234B-6482-4A55-A11D-ECD9030313F2}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{30C7234B-6482-4A55-A11D-ECD9030313F2}\\WMDM10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{30C7234B-6482-4A55-A11D-ECD9030313F2}\\wmdm10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{3FDF25EE-E592-4495-8391-6E9C504DAC2B}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{3FDF25EE-E592-4495-8391-6E9C504DAC2B}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{3FDF25EE-E592-4495-8391-6E9C504DAC2B}\\WMSET10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{3FDF25EE-E592-4495-8391-6E9C504DAC2B}\\wmset10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{60204BB3-7078-4F70-8F69-68297621941C}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{60204BB3-7078-4F70-8F69-68297621941C}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{60204BB3-7078-4F70-8F69-68297621941C}\\MPSTUB10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{60204BB3-7078-4F70-8F69-68297621941C}\\mpstub10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{981FB688-E76B-4246-987B-92083185B90A}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{981FB688-E76B-4246-987B-92083185B90A}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{981FB688-E76B-4246-987B-92083185B90A}\\WPD10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{981FB688-E76B-4246-987B-92083185B90A}\\wpd10.cat"

Sarah108 · 04.07.2009, 21:15

und hier der link zur listing.txt:

http://www.materialordner.de/I6Phtbd...OuSXFD14a.html

und Teil 3:

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{A47B3654-48EE-48A5-B629-97D70175E58F}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{A47B3654-48EE-48A5-B629-97D70175E58F}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{A47B3654-48EE-48A5-B629-97D70175E58F}\\codecs10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{A47B3654-48EE-48A5-B629-97D70175E58F}\\codecs10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}\\WMFSDK10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}\\wmfsdk10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}\\DRM10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}\\drm10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{CFB4B314-0328-45E1-94AF-45A3F5F48E0B}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{CFB4B314-0328-45E1-94AF-45A3F5F48E0B}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{CFB4B314-0328-45E1-94AF-45A3F5F48E0B}\\MPCD10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{CFB4B314-0328-45E1-94AF-45A3F5F48E0B}\\mpcd10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\ExceptionComponents\{DD90D410-1823-43EB-9A16-A2331BF08799}]
@DACL=(02 0000)
@SACL=
"FriendlyName"="Windows Media Files"
"ComponentGUID"="{DD90D410-1823-43EB-9A16-A2331BF08799}"
"Version"=dword:000a0000
"Sub-Version"=dword:00000e3e
"ExceptionInfName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{DD90D410-1823-43EB-9A16-A2331BF08799}\\WMP10.inf"
"ExceptionCatalogName"=expand:"c:\\WINDOWS\\RegisteredPackages\\{DD90D410-1823-43EB-9A16-A2331BF08799}\\wmp10.cat"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\SwFlash]
@DACL=(02 0000)
@SACL=
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="0ECF926B93905B0C05F07010F93F864C565895D4286EB4BB7BE476464547211678EF541360BF670C418D2563EC3BAA40C0868184447AD01CDC34 A8DBBDCD50701F1F9535552E065F5C7B9B56638F2526F7E29EECDE91A827ADF2D1C0B97EEACB73AA90C1C113B3376824B4DC1D9C69434F1596A749664AD322A48653B877B6772C9263FD76 1A8CD4BA26B9415B3D0FEEDD77FBA3551F64B132023FC9404A9E55408A1183C8615590EFD15622E5BBD2147F9743A4DB524D5F1A755A29D87CAE5CEEFB7F3D13FBF3D563ACFEBC9E127BEC C74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678EDD5E5BE2F6E6675D575E7D6A3B9808A6171C11EC38DE3DF9 7F18DDFEADF2CBAC57F94DF73A66A03BC917B3A62C2ACBF006A2458D97A9A692661ADC8E853B48EFB57284C5E4D50180CF4D5BED4D4C1C9C823A36E30A9B73BD4913A5AA01CAD54FD55FBB 08DD573A14E84BADAE16B7C518F7AFBDF9B9E29FAD29A576B60E77130A9B31BCFD8762875FFC73A22001A3449374749FA0521703FE5AF502BC3159D54340DEC50BD8AEDBACCCACA61F188A C5A35C00154D1814292C04ABEEEBFD4E2601D0600B355E3CDB2CE6E119AAFCAC2C4065CE4C18DC7B5119A07354959F76402CADB433A7364D616F33824E67E38D0EC69A61E33E8CAFEE0982 00432F55B815958ADCD8B194E7F86FEA7F0F1D15F23776DA39F2A023D8A927CB82BB53EF3DC9EDF1DE0C46BFD4E5861B4F15376C692574D7DF03C432645D8074B7353F57F0B6CCBFC3CE7B 14A21DF5A76E14C559BE8BC91BDF10535F829A06C85919550484E62AA59B990E00A447DEC3DA2C7CE107CE617C498A18E227220D68A8451B06EE1C672774555A86F0C2C97A9678B31D1A0B 0D2CAFD7060B086D4FC56A0BBA7E68CAC51DE562E5416021A2A92903E638110F7FAC2BD1AFB825A7E92B68B20224ED1CEB360A94D457122738839C4CB7734C5B535456C4CFE13C305E326D F3E340C06A64F0FCB0740CE7CFBC0C7FC967A1EF29834FD271C10FD21B12CB4BFDF3B365C81C22E173B13108474A1FE561DE2C60E0EF9A410E88DCAF2F4EBA56F2EE6D26FAE6745E8CA12D 5CEE5A6964702B8F4CA25E0ACBC1477DDE6942186768AFF58FF87AE39A1CF9FB93DD4C6C16C67ADB20BF76C49DAC4637B276FBCE5AE73B6772EE724045BB952D205B64FE9B2822358F3F45 45E5DBF4E03C3CF39E11F0B46E643E4B2F8F7573643767C849944C995392DA3AD858D7E2E957D2011CEF74E7CF3F7BE9A9304936D752B187CAAAE07B8464032A25AD9744531D82632EDE58 425F9F6E91FBDF2925D2B2A00D55860489A60358CD1E9F0973B0ED4E39914AF755096514EFC6DCFBAA35D74DAD0DD64A272FB133C010EE0CEBAC6F680BD42520D5CA"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\KnownDeviceClasses]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\KnownDevices]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SCP\SCPTRANS]
@DACL=(02 0000)
@SACL=
"ProgID"="MsScp.SCPTRANS.1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\NeroBurnPlugin]
@DACL=(02 0000)
@SACL=
"ProgID"="MDNeroBurnPlugin.MDNeroBurnPlugin"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\WMDMCESP]
@DACL=(02 0000)
@SACL=
"ProgID"="WMDMCESP.WMDMCESP"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\WPDSp]
@DACL=(02 0000)
@SACL=
"PnPAware"=dword:00000001
"ProgID"="WPDSp.WPDServiceProvider"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\FontLink]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB834707]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB834707"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB834707"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB873339]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB873339"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB873339"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB885835]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB885835"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB885835"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB885836]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB885836"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB885836"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB885884]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB885884"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB885884"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB886185]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB886185"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB886185"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\HotFix\KB887797]
@DACL=(02 0000)
@SACL=
"Installed"=dword:00000001
"Comments"="Windows XP-Hotfix - KB887797"
"Backup Dir"=""
"Fix Description"="Windows XP-Hotfix - KB887797"
"Installed By"=""
"Installed On"=""
"Service Pack"=dword:00000003
"Valid"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\NetworkCards]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL]
@DACL=(02 0000)
@SACL=
"LogSessionName"=expand:"stdout"
"Active"=dword:00000001
"ControlFlags"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
@DACL=(02 0000)
@SACL=
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\software\muvee Technologies\030625]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Realtek Semiconductor Corp.\Realtek AC'97 Audio]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Xing Technology Corp.\SharedDlls]
@DACL=(02 0000)
@SACL=
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(532)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3940)
c:\windows\system32\ieframe.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
.
Tempo para conclusão: 2009-07-04 21:51
ComboFix-quarantined-files.txt 2009-07-04 19:50
ComboFix2.txt 2009-07-04 12:45
ComboFix3.txt 2009-07-03 20:07

Pré-execução: 12 Verzeichnis(se), 30.218.588.160 Bytes frei
Pós execução: 12 Verzeichnis(se), 30.204.010.496 Bytes frei

999 --- E O F --- 2008-09-10 10:59

john.doe · 04.07.2009, 21:20

Das Script wurde nicht abgearbeitet. Bitte wiederholen. Wenn er dich fragt, ob er die Wiederherstellungskonsole installieren soll, dann auf Ja klicken.

ciao, andreas

john.doe · 04.07.2009, 22:34

Seit wann hast du Probleme? Wenn ich das richtig lese, dann seit Oktober 2008.

Neues Script für ComboFix. Das alte bitte nicht mehr ausführen.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
catchme
SymIM
SymIMMP

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=-
"ctfmon.exe"=-

File::
c:\IPH.PH
c:\BcBtRmv.log
c:\hpfr3500.log
c:\INSTALL.LOG
c:\Tech_Vista.log
c:\aaw7boot.log
C:\WINDOWS\system32\jupdate-1.4.2_05-b04.log
C:\WINDOWS\system32\jupdate-1.4.2_06-b03.log
C:\WINDOWS\system32\jupdate-1.6.0_02-b06.log
C:\WINDOWS\system32\jupdate-1.6.0_07-b06.log
c:\windows\system32\TZLog.log
c:\windows\system32\TDSSxhyf.log
c:\windows\system32\TDSSosvd.log
c:\windows\system32\TDSSbrsr.log
C:\WINDOWS\system32\perfc007.dat
C:\WINDOWS\system32\perfc009.dat
C:\WINDOWS\system32\perfd007.dat
C:\WINDOWS\system32\perfd009.dat
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfi007.dat
C:\WINDOWS\system32\perfi009.dat
C:\WINDOWS\system32\SET80.tmp
C:\WINDOWS\system32\SET81.tmp
C:\WINDOWS\system32\SET82.tmp
C:\WINDOWS\system32\SET83.tmp
C:\WINDOWS\system32\SET84.tmp
C:\WINDOWS\system32\SET85.tmp
C:\WINDOWS\system32\SET86.tmp
C:\WINDOWS\system32\SET89.tmp
C:\WINDOWS\system32\SET8B.tmp
C:\WINDOWS\system32\SET8C.tmp
C:\WINDOWS\system32\SET8D.tmp
C:\WINDOWS\system32\SET90.tmp
C:\WINDOWS\system32\SET91.tmp
C:\WINDOWS\system32\SET93.tmp
C:\WINDOWS\system32\SET94.tmp
C:\WINDOWS\system32\SET96.tmp
C:\WINDOWS\system32\SET98.tmp
C:\WINDOWS\system32\SET99.tmp
C:\WINDOWS\system32\SET9A.tmp
C:\WINDOWS\system32\SET9B.tmp
C:\WINDOWS\system32\SET9C.tmp
C:\WINDOWS\system32\SET9D.tmp
C:\WINDOWS\system32\SET9E.tmp
C:\WINDOWS\system32\SETA2.tmp
C:\WINDOWS\system32\SETA3.tmp
C:\WINDOWS\system32\SETA4.tmp
C:\WINDOWS\system32\SETA5.tmp
C:\WINDOWS\system32\SETA6.tmp
C:\WINDOWS\system32\SETA7.tmp
C:\WINDOWS\system32\SETA8.tmp
C:\WINDOWS\system32\SETA9.tmp
C:\WINDOWS\system32\SETAB.tmp
C:\WINDOWS\system32\SETAC.tmp
C:\WINDOWS\system32\SETAD.tmp
C:\WINDOWS\system32\SETAE.tmp
C:\WINDOWS\system32\wuapi.dll.mui.wusetup.687268089.bak
C:\WINDOWS\system32\wuapi.dll.wusetup.687265625.bak
C:\WINDOWS\system32\wuauclt.exe.wusetup.687269801.bak
C:\WINDOWS\system32\wuaucpl.cpl.mui.wusetup.687271764.bak
C:\WINDOWS\system32\wuaucpl.cpl.wusetup.687271474.bak
C:\WINDOWS\system32\wuaueng.dll.mui.wusetup.687276711.bak
C:\WINDOWS\system32\wuaueng.dll.wusetup.687272816.bak
C:\WINDOWS\system32\wucltui.dll.wusetup.687375193.bak
C:\WINDOWS\Downloaded Program Files\dwusplay.dll
C:\WINDOWS\Downloaded Program Files\dwusplay.exe
C:\WINDOWS\Downloaded Program Files\erma.inf
C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
C:\WINDOWS\Downloaded Program Files\isusweb.dll
C:\WINDOWS\Downloaded Program Files\opuc.inf
C:\WINDOWS\system32\drivers\Lbd.sys
C:\WINDOWS\Prefetch\AGENT.EXE-031F1239.pf
C:\WINDOWS\Prefetch\ATTRIB.CFEXE-0FBF0B3C.pf
C:\WINDOWS\Prefetch\ATTRIB.EXE-39EAFB02.pf
C:\WINDOWS\Prefetch\AVGNT.EXE-36CA4640.pf
C:\WINDOWS\Prefetch\AVWSC.EXE-2F6C3C95.pf
C:\WINDOWS\Prefetch\CATCHME.CFEXE-096D9455.pf
C:\WINDOWS\Prefetch\CF24039.EXE-317F06E9.pf
C:\WINDOWS\Prefetch\CHCP.COM-18156052.pf
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
C:\WINDOWS\Prefetch\CMD.EXECF-27E83661.pf
C:\WINDOWS\Prefetch\COMBI.EXE-29E3DA82.pf
C:\WINDOWS\Prefetch\CSCRIPT.EXE-1C26180C.pf
C:\WINDOWS\Prefetch\CTRLVOL.EXE-0D605804.pf
C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf
C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf
C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf
C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf
C:\WINDOWS\Prefetch\FINDSTR.CFEXE-37E13481.pf
C:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf
C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf
C:\WINDOWS\Prefetch\GREP.CFEXE-20172BFD.pf
C:\WINDOWS\Prefetch\GREP.CFEXE-273BC5E1.pf
C:\WINDOWS\Prefetch\GRPCONV.EXE-111CD845.pf
C:\WINDOWS\Prefetch\GSAR.CFEXE-0E6FCB31.pf
C:\WINDOWS\Prefetch\GSAR.CFEXE-3307AEE3.pf
C:\WINDOWS\Prefetch\HANDLE.CFEXE-1B5CB63F.pf
C:\WINDOWS\Prefetch\HIDEC.EXE-07CD697F.pf
C:\WINDOWS\Prefetch\HIDEC.EXE-3B166DB3.pf
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-39024128.pf
C:\WINDOWS\Prefetch\HOTKEYAPP.EXE-15C2C304.pf
C:\WINDOWS\Prefetch\LAUNCHAP.EXE-055A5C9F.pf
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf
C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf
C:\WINDOWS\Prefetch\MSNMSGR.EXE-091111D0.pf
C:\WINDOWS\Prefetch\N.COM-3222D14C.pf
C:\WINDOWS\Prefetch\NIRCMD.CFEXE-0E3F4BC2.pf
C:\WINDOWS\Prefetch\NIRCMD.CFEXE-22197EEE.pf
C:\WINDOWS\Prefetch\NIRCMD.COM-1632EDD0.pf
C:\WINDOWS\Prefetch\NIRCMD.EXE-2C39EF53.pf
C:\WINDOWS\Prefetch\NIRCMDC.CFEXE-1D3613C3.pf
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf
C:\WINDOWS\Prefetch\OSD.EXE-1249DB6E.pf
C:\WINDOWS\Prefetch\PEV.CFEXE-1E5810EA.pf
C:\WINDOWS\Prefetch\PEV.CFEXE-26A9D6BD.pf
C:\WINDOWS\Prefetch\PEV.EXE-0CAECAD9.pf
C:\WINDOWS\Prefetch\PEV.EXE-0CE2BF4A.pf
C:\WINDOWS\Prefetch\PEV.EXE-2937A365.pf
C:\WINDOWS\Prefetch\PING.EXE-31216D26.pf
C:\WINDOWS\Prefetch\PV.CFEXE-23E4A9A0.pf
C:\WINDOWS\Prefetch\PV.CFEXE-384E9105.pf
C:\WINDOWS\Prefetch\PV.EXE-06A2AC78.pf
C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf
C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
C:\WINDOWS\Prefetch\REGT.CFEXE-2A7FFE88.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1187FB71.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1EE676D0.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf
C:\WINDOWS\Prefetch\SED.CFEXE-1B3E06D3.pf
C:\WINDOWS\Prefetch\SED.CFEXE-238FCCA6.pf
C:\WINDOWS\Prefetch\SED.EXE-0F4B402F.pf
C:\WINDOWS\Prefetch\SORT.EXE-194AE83C.pf
C:\WINDOWS\Prefetch\SWREG.CFEXE-13477C02.pf
C:\WINDOWS\Prefetch\SWREG.EXE-0937BD77.pf
C:\WINDOWS\Prefetch\SWREG.EXE-2A1146BD.pf
C:\WINDOWS\Prefetch\SWSC.CFEXE-0D1F2ABE.pf
C:\WINDOWS\Prefetch\SYNTPLPR.EXE-0AB61C3B.pf
C:\WINDOWS\Prefetch\UPDATE.EXE-13D57D76.pf
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf
C:\WINDOWS\Prefetch\WBUTTON.EXE-2B351ECF.pf
C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf
C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf
c:\programme\Gemeinsame Dateien\inyfak.reg
c:\programme\Gemeinsame Dateien\onocazu.scr
c:\programme\Gemeinsame Dateien\ijinogiqa.bin
C:\WINDOWS\0.log
C:\WINDOWS\clock.avi
C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
C:\WINDOWS\setupapi.log
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\setupapi.log.1.old
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3FCCE746AB.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\axux.bin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lyponizaj.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sizy._dl
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxijaj.reg
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\bowyjiqib.sys
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\gucuhorosu.ban
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\qaqama.dat
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\tikajasat.inf
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\urepaxytyb.ban
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\wklnhst.dat


Folder::
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Macromedia
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\You've Got Pictures Screensaver
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\LimeWire
C:\WINDOWS\Downloaded Installations\{58D0004E-3E6A-4815-B63B-E50B631CDFDA}
C:\WINDOWS\Downloaded Installations\{C327C337-AC0B-4075-BFD1-385B156BBEBC}
C:\WINDOWS\system32\Macromed
C:\Config.Msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
C:\rsit
c:\windows\Installer
c:\windows\E80F62FF5D3C4A1984099721F2928206.TMP
c:\Programme\LimeWire
c:\Programme\Spybot - Search & Destroy
c:\Programme\Online-Dienste
c:\Programme\Online Services
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

DirLook::
C:\Program Files
C:\EVO.CD
C:\BRAIN
C:\LG3G
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Macrovision
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
c:\programme\Launch Manager
c:\programme\Gemeinsame Dateien

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Sarah108 · 04.07.2009, 22:49

als ich die erste Nachricht gelesen habe, war ich grad dabei den scan mit Kaspersky zu machen - hat ziemlich gedauert, bis alle Dateien runtergeladen waren.

inzwischen habe ich mit dem alten Code nochmal gescriptet. - hab die neue Nachricht nicht gesehen.

Also wiederhole ich das Ganze nochmal mit dem neuen Code.

Sarah108 · 04.07.2009, 22:52

teil 2 dieses Protokolls ist dann unwichtig

Sarah108 · 04.07.2009, 22:53

und Teil 3 auch.

john.doe · 04.07.2009, 22:58

1.) Start => Ausführen => combofix /u => OK

2.) Lade dir ein neues Combofix auf deinen Desktop.

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
catchme
SymIM
SymIMMP

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=-
"ctfmon.exe"=-

File::
c:\IPH.PH
c:\BcBtRmv.log
c:\hpfr3500.log
c:\INSTALL.LOG
c:\Tech_Vista.log
c:\aaw7boot.log
C:\WINDOWS\system32\jupdate-1.4.2_05-b04.log
C:\WINDOWS\system32\jupdate-1.4.2_06-b03.log
C:\WINDOWS\system32\jupdate-1.6.0_02-b06.log
C:\WINDOWS\system32\jupdate-1.6.0_07-b06.log
c:\windows\system32\TZLog.log
c:\windows\system32\TDSSxhyf.log
c:\windows\system32\TDSSosvd.log
c:\windows\system32\TDSSbrsr.log
C:\WINDOWS\system32\perfc007.dat
C:\WINDOWS\system32\perfc009.dat
C:\WINDOWS\system32\perfd007.dat
C:\WINDOWS\system32\perfd009.dat
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfi007.dat
C:\WINDOWS\system32\perfi009.dat
C:\WINDOWS\system32\SET80.tmp
C:\WINDOWS\system32\SET81.tmp
C:\WINDOWS\system32\SET82.tmp
C:\WINDOWS\system32\SET83.tmp
C:\WINDOWS\system32\SET84.tmp
C:\WINDOWS\system32\SET85.tmp
C:\WINDOWS\system32\SET86.tmp
C:\WINDOWS\system32\SET89.tmp
C:\WINDOWS\system32\SET8B.tmp
C:\WINDOWS\system32\SET8C.tmp
C:\WINDOWS\system32\SET8D.tmp
C:\WINDOWS\system32\SET90.tmp
C:\WINDOWS\system32\SET91.tmp
C:\WINDOWS\system32\SET93.tmp
C:\WINDOWS\system32\SET94.tmp
C:\WINDOWS\system32\SET96.tmp
C:\WINDOWS\system32\SET98.tmp
C:\WINDOWS\system32\SET99.tmp
C:\WINDOWS\system32\SET9A.tmp
C:\WINDOWS\system32\SET9B.tmp
C:\WINDOWS\system32\SET9C.tmp
C:\WINDOWS\system32\SET9D.tmp
C:\WINDOWS\system32\SET9E.tmp
C:\WINDOWS\system32\SETA2.tmp
C:\WINDOWS\system32\SETA3.tmp
C:\WINDOWS\system32\SETA4.tmp
C:\WINDOWS\system32\SETA5.tmp
C:\WINDOWS\system32\SETA6.tmp
C:\WINDOWS\system32\SETA7.tmp
C:\WINDOWS\system32\SETA8.tmp
C:\WINDOWS\system32\SETA9.tmp
C:\WINDOWS\system32\SETAB.tmp
C:\WINDOWS\system32\SETAC.tmp
C:\WINDOWS\system32\SETAD.tmp
C:\WINDOWS\system32\SETAE.tmp
C:\WINDOWS\system32\wuapi.dll.mui.wusetup.687268089.bak
C:\WINDOWS\system32\wuapi.dll.wusetup.687265625.bak
C:\WINDOWS\system32\wuauclt.exe.wusetup.687269801.bak
C:\WINDOWS\system32\wuaucpl.cpl.mui.wusetup.687271764.bak
C:\WINDOWS\system32\wuaucpl.cpl.wusetup.687271474.bak
C:\WINDOWS\system32\wuaueng.dll.mui.wusetup.687276711.bak
C:\WINDOWS\system32\wuaueng.dll.wusetup.687272816.bak
C:\WINDOWS\system32\wucltui.dll.wusetup.687375193.bak
C:\WINDOWS\Downloaded Program Files\dwusplay.dll
C:\WINDOWS\Downloaded Program Files\dwusplay.exe
C:\WINDOWS\Downloaded Program Files\erma.inf
C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
C:\WINDOWS\Downloaded Program Files\isusweb.dll
C:\WINDOWS\Downloaded Program Files\opuc.inf
C:\WINDOWS\system32\drivers\Lbd.sys
C:\WINDOWS\Prefetch\AGENT.EXE-031F1239.pf
C:\WINDOWS\Prefetch\ATTRIB.CFEXE-0FBF0B3C.pf
C:\WINDOWS\Prefetch\ATTRIB.EXE-39EAFB02.pf
C:\WINDOWS\Prefetch\AVGNT.EXE-36CA4640.pf
C:\WINDOWS\Prefetch\AVWSC.EXE-2F6C3C95.pf
C:\WINDOWS\Prefetch\CATCHME.CFEXE-096D9455.pf
C:\WINDOWS\Prefetch\CF24039.EXE-317F06E9.pf
C:\WINDOWS\Prefetch\CHCP.COM-18156052.pf
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
C:\WINDOWS\Prefetch\CMD.EXECF-27E83661.pf
C:\WINDOWS\Prefetch\COMBI.EXE-29E3DA82.pf
C:\WINDOWS\Prefetch\CSCRIPT.EXE-1C26180C.pf
C:\WINDOWS\Prefetch\CTRLVOL.EXE-0D605804.pf
C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf
C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf
C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf
C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf
C:\WINDOWS\Prefetch\FINDSTR.CFEXE-37E13481.pf
C:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf
C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf
C:\WINDOWS\Prefetch\GREP.CFEXE-20172BFD.pf
C:\WINDOWS\Prefetch\GREP.CFEXE-273BC5E1.pf
C:\WINDOWS\Prefetch\GRPCONV.EXE-111CD845.pf
C:\WINDOWS\Prefetch\GSAR.CFEXE-0E6FCB31.pf
C:\WINDOWS\Prefetch\GSAR.CFEXE-3307AEE3.pf
C:\WINDOWS\Prefetch\HANDLE.CFEXE-1B5CB63F.pf
C:\WINDOWS\Prefetch\HIDEC.EXE-07CD697F.pf
C:\WINDOWS\Prefetch\HIDEC.EXE-3B166DB3.pf
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-39024128.pf
C:\WINDOWS\Prefetch\HOTKEYAPP.EXE-15C2C304.pf
C:\WINDOWS\Prefetch\LAUNCHAP.EXE-055A5C9F.pf
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf
C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf
C:\WINDOWS\Prefetch\MSNMSGR.EXE-091111D0.pf
C:\WINDOWS\Prefetch\N.COM-3222D14C.pf
C:\WINDOWS\Prefetch\NIRCMD.CFEXE-0E3F4BC2.pf
C:\WINDOWS\Prefetch\NIRCMD.CFEXE-22197EEE.pf
C:\WINDOWS\Prefetch\NIRCMD.COM-1632EDD0.pf
C:\WINDOWS\Prefetch\NIRCMD.EXE-2C39EF53.pf
C:\WINDOWS\Prefetch\NIRCMDC.CFEXE-1D3613C3.pf
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf
C:\WINDOWS\Prefetch\OSD.EXE-1249DB6E.pf
C:\WINDOWS\Prefetch\PEV.CFEXE-1E5810EA.pf
C:\WINDOWS\Prefetch\PEV.CFEXE-26A9D6BD.pf
C:\WINDOWS\Prefetch\PEV.EXE-0CAECAD9.pf
C:\WINDOWS\Prefetch\PEV.EXE-0CE2BF4A.pf
C:\WINDOWS\Prefetch\PEV.EXE-2937A365.pf
C:\WINDOWS\Prefetch\PING.EXE-31216D26.pf
C:\WINDOWS\Prefetch\PV.CFEXE-23E4A9A0.pf
C:\WINDOWS\Prefetch\PV.CFEXE-384E9105.pf
C:\WINDOWS\Prefetch\PV.EXE-06A2AC78.pf
C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf
C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
C:\WINDOWS\Prefetch\REGT.CFEXE-2A7FFE88.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1187FB71.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1EE676D0.pf
C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf
C:\WINDOWS\Prefetch\SED.CFEXE-1B3E06D3.pf
C:\WINDOWS\Prefetch\SED.CFEXE-238FCCA6.pf
C:\WINDOWS\Prefetch\SED.EXE-0F4B402F.pf
C:\WINDOWS\Prefetch\SORT.EXE-194AE83C.pf
C:\WINDOWS\Prefetch\SWREG.CFEXE-13477C02.pf
C:\WINDOWS\Prefetch\SWREG.EXE-0937BD77.pf
C:\WINDOWS\Prefetch\SWREG.EXE-2A1146BD.pf
C:\WINDOWS\Prefetch\SWSC.CFEXE-0D1F2ABE.pf
C:\WINDOWS\Prefetch\SYNTPLPR.EXE-0AB61C3B.pf
C:\WINDOWS\Prefetch\UPDATE.EXE-13D57D76.pf
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf
C:\WINDOWS\Prefetch\WBUTTON.EXE-2B351ECF.pf
C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf
C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf
c:\programme\Gemeinsame Dateien\inyfak.reg
c:\programme\Gemeinsame Dateien\onocazu.scr
c:\programme\Gemeinsame Dateien\ijinogiqa.bin
C:\WINDOWS\0.log
C:\WINDOWS\clock.avi
C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
C:\WINDOWS\setupapi.log
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\setupapi.log.1.old
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3FCCE746AB.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\axux.bin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lyponizaj.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sizy._dl
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxijaj.reg
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\bowyjiqib.sys
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\gucuhorosu.ban
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\qaqama.dat
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\tikajasat.inf
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\urepaxytyb.ban
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\wklnhst.dat


Folder::
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Macromedia
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\You've Got Pictures Screensaver
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\LimeWire
C:\WINDOWS\Downloaded Installations\{58D0004E-3E6A-4815-B63B-E50B631CDFDA}
C:\WINDOWS\Downloaded Installations\{C327C337-AC0B-4075-BFD1-385B156BBEBC}
C:\WINDOWS\system32\Macromed
C:\Config.Msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
C:\rsit
c:\windows\Installer
c:\windows\E80F62FF5D3C4A1984099721F2928206.TMP
c:\Programme\LimeWire
c:\Programme\Spybot - Search & Destroy
c:\Programme\Online-Dienste
c:\Programme\Online Services
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

DirLook::
C:\Program Files
C:\EVO.CD
C:\BRAIN
C:\LG3G
c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Macrovision
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
c:\programme\Launch Manager
c:\programme\Gemeinsame Dateien

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Sarah108 · 04.07.2009, 23:28

Mir ist eigentlich nicht wirklich was aufgefallen, da ich seit nem Jahr in meinem Job viel vor dem Computer sitze und meinen zu Hause so gut wie nicht mehr davor setze.
Mein Freund benutzt ihn viel.

Jetzt hab ich nochmal ein neuen Combofix runtergeladen und werde mit dem neuen Code scripten.

Soll ich dann danach einen Scan mit dem Kaspersky und dem anderen Programm machen?

john.doe · 04.07.2009, 23:31

Ja.

ciao, andreas

Dialer, Weiterleitung auf andere Homepages & Blockierung von Homepages

Log-Analyse und Auswertung: Dialer, Weiterleitung auf andere Homepages & Blockierung von Homepages