Trojaner-Board - Trojaner eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner eingefangen (https://www.trojaner-board.de/51735-trojaner-eingefangen.html)

Trojaner eingefangen

Hallo!

Ich hoffe ihr könnt mir bei meinem problem helfen.Hab mir einen Trojaner eingefangen Namens Win32.Zlob.lka Da ich leider wirklich keine ahnung habe wie und wo ich den finden kann und vorallendingen wie ich das ding wieder loswerde habe ich mich an euch gewant.Bin leider jemand der nicht wirklich ahnung von PCs hat aber hoffe trotzdem das ihr mir helfen könnt und ich es verstehe :)
Danke schon mal im vorraus

hallo, sugar,:)
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die hijackthis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log hier.

Hallo Boston

So also runtergeladen habe ich es mir und was soll ich da jetzt genau machen?Wie gesagt ich habe leider fast null ahnung.Wird warscheinlich ne schwere geburt mit mir werden. :)

oh, kein problem,
du benennst die hijackthis.exe in abc.exe um, führst die abc.exe aus,
dann do a system scan and save a logfile, dann
kopierst du den text, den dir hijackthis liefert(hijackthis.txt), und
fügst ihn komplett hier in diesem thread ein.
du kannst auch dieser detaillierten anleitung folgen, wenn du unsicher bist.
http://www.trojaner-board.de/51130-hijackthis.htm

ok du meinst also das zweite fenster was dann aufgeht "hijackthis-editor"
daraus dann die ganzen zeichen,buschstaben und zahlen kopieren?

ja, alles komplett hier einfügen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:10, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ]
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe

--
End of file - 5524 bytes

hi, sugar,
bearshare ist bestimmt kein sicherheitsgewinn für deinen rechner.

bitte nacheinander das anwenden

SmitFraudFix
combofix
http://www.trojaner-board.de/51187-m...i-malware.html

und rapport.txt, combofix.txt, das anti-malware log und dann
ein neues hjt-log posten.

hey boston,ich weiß ein sicheitsgewinn ist es aufjedenfall nicht.
Sollte ich gleich das erste Laden was angeboten wird?Funktioniert leider nicht.Mach ich was falsch?

ok hat doch geklappt.....also schick ich dir jetzt das erste

SmitFraudFix v2.315

Scan done at 18:16:14,10, 21.04.2008
Run from C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.86
DNS Server Search Order: 62.109.123.7

HKLM\SYSTEM\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

was funktioniert nicht?
im ersten fall wird das programm hier
http://siri.geekstogo.com/SmitfraudFix.exe
heruntergeladen und weiter gehts mit der verlinkten anleitung:
SmitFraudFix
lies dir diese und die zu combofix und anti-malware in ruhe durch und folge den schritten.

hey boston :)

oh mensch....ist mir jetzt echt peinlich aber ich bekomm das irgendwie nicht hin....hab echt kein plan was ich tun muß.

ok, weiter gehts mit combofix.
eine detaillierte anleitung habe ich dir bereits verlinkt:
combofix
kurz gesagt:
lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix auf den desktop herunter,
alle programme, guards etc. schliessen.
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts(kein mouse-klick etc.) am computer machen
und dann das log combofix.txt posten(genau so alles abkopieren wie beim hijackthis-log).

danach folgst du dieser anleitung:
http://www.trojaner-board.de/51187-m...i-malware.html
und postest das log von anti-malware.

mensch das hat gedauert :)

hier ist das was bei combofix rauskam

ComboFix 08-04-20.5 - Administrator 2008-04-21 19:14:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1448 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 18:16 . 2008-04-21 18:38 1,316 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-21 18:10 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-21 18:10 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-21 18:10 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-21 18:10 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-21 18:10 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-21 18:10 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-21 18:10 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 16:14 . 2008-04-21 18:35 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-04-21 15:02 . 2008-04-21 15:02 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-04-21 15:02 . 2008-04-21 15:02 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-04-21 14:31 . 2008-04-21 15:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Trojancheck 6
2008-04-20 22:04 . 2008-04-20 22:04 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-04-18 07:34 . 2008-04-18 07:34 <DIR> d-------- C:\Programme\Reference Assemblies
2008-04-18 07:33 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-04-12 19:28 . 2008-04-12 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-04-05 21:01 . 2008-04-18 02:13 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-05 21:00 . 2008-04-05 21:00 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-04-05 21:00 . 2008-04-05 21:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 17:41 29,981,984 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-21 17:40 921,888 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-21 16:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-21 16:45 87,260 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-21 16:45 401,588 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-21 16:10 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-04-21 13:18 --------- d-----w C:\Programme\USB Disk Win98 Driver
2008-04-21 13:18 --------- d-----w C:\Programme\MSN Messenger
2008-04-21 13:17 --------- d-----w C:\Programme\ICQToolbar
2008-04-21 09:07 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-04-18 20:18 --------- d-----w C:\Programme\ICQ6
2008-04-18 00:25 --------- d-----w C:\Programme\DivX
2008-04-17 15:53 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-17 15:53 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-17 15:28 --------- d-----w C:\Programme\Java
2008-03-12 11:10 633,344 ------w C:\WINDOWS\system32\gpprefcl.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= "C:\Programme\NetProject\wamdl.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= C:\Programme\NetProject\wamdl.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"MsnMsgr"="~C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 19:09 103712]
"Nero PhotoShow Media Manager"="C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"ICQ"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-05-19 23:36 218640]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.exe]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 19:09 103712]
"USB Storage Toolbox"="C:\Programme\USB Disk Win98 Driver\Res.EXE" [2005-09-14 21:44 65536]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"msacm.scg726"= scg726.acm
"msacm.alf2cd"= alf2cd.acm
"msacm.ac3acm"= AC3ACM.acm
"vidc.dvsd"= mcdvd_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 19:40:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\Working\database_F874_1CFF_741C_C274\fsr00384.log 131072 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 14

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 19:42:30
ComboFix-quarantined-files.txt 2008-04-21 17:42:02

6 Verzeichnis(se), 141,551,599,616 Bytes frei
9 Verzeichnis(se), 141,759,508,480 Bytes frei

131 --- E O F --- 2008-04-18 22:39:26

hi boston

so nun habe ich das letzt auch noch geschafft :)
schade das du nicht mehr da bist.hat wohl zu lang gedauert. :)
ich schicke dir trotzdem mal was dabei rausgekommen ist und hoffe vielleicht das du morgen wieder da bist.bin gegen nachmittag wieder da

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 666

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 72112
Scan Dauer: 19 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7c109800-a5d5-438f-9640-18d17e168b88} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\a0c.FC8D1C2801C8A3D2.history\00000060.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\b8c.FC1AAB4801C8A3D2.history\000000ac.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\c54.FC1121E001C8A3D2.history\000000ac.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\c70.2EB3F35201C8A3D3.history\0000002c.bak (Trojan.Zlob) -> Delete on reboot.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017253.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017259.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017260.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017270.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017273.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017283.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017285.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017287.dll (Trojan.Zlob) -> Quarantined and deleted successfully.

Zitat:

und hoffe vielleicht das du morgen wieder da bist

ich bemühe mich, dir, soweit ich das kann, so schnell wie möglich zu helfen.

bitte avenger
nach dieser anleitung
The Avenger
mit folgendem skript anwenden

Zitat:

Folders to delete:
C:\Programme\NetProject

und avenger.txt posten.

dann die systemwiederherstellung deaktivieren und danach wieder aktivieren.
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

danach bitte ein neues hijackthis-log.

Hi Boston

hoffe du hast einen angenehmen tag gehabt?Ich danke dir jetzt schon mal für deine hilfe und deine geduld die ich jetzt mal wieder strapazieren muß. :)

Hab es irgendwie so verstanden das ich aus C/Programme und dann Net Projekt in das Fenster bei Avenger Kopieren soll.Hoff da lieg ich richtig?
Aber bei mir auf C finde ich dat nicht???

hallo,
geh nach dieser anleitung(lies sie dir in ruhe durch)
Avenger Anleitung
vor.
wenn es unklar sein sollte, hier der download-link für avenger:
http://filepony.de/download-the_avenger/

in das weiße feld unter
Input script here:

kopierst du das

Folders to delete:
C:\Programme\NetProject

ein und folgst den weiteren schritten der anleitung.
dann kopierst du das, was bei c:\avenger.txt angezeigt wird, ab
und fügst es, genauso wie bei hijackthis und combofix, hier in
den thread ein.

dann, wie in meinem letzten post beschrieben, die systemwiederherstellung
deaktivieren und danach wieder aktivieren und dann poste ein neues hijackthis-log.

Ich würde Smitfraufix eher noch mal im abgesicherten Modus anwenden.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.
http://saved.im/mja3mthiyxvt_vs/smf.jpg

-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.

also das kam bei avenger raus

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Apr 22 15:25:31 2008

15:25:31: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Apr 22 15:29:00 2008

15:29:00: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Apr 22 15:29:16 2008

15:29:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Apr 22 15:29:20 2008

15:29:20: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: folder "C:\Programme\NetProject" not found!
Deletion of folder "C:\Programme\NetProject" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

so ich hoffe ich habe jetzt alles richtig gemacht

das kommt bei hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:46, on 22.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ]
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe

--
End of file - 4958 bytes

@bata
ich bin davon ausgegangen, daß kaspersky und anti-malware alles erwischt haben
und wollte avenger nur zur überprüfung heranziehen und der ordner existiert wohl wirklich nicht mehr.
@sugar
führe batas vorschlag bitte noch aus. wenn doch was gefunden wird, habe ich
mich getäuscht. das hijackthis-log ist sauber.

Q bata und boston......
hab es nochmal durchgeführt und das kommt raus

SmitFraudFix v2.316

Scan done at 17:15:14,31, 22.04.2008
Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.86
DNS Server Search Order: 62.109.123.7

HKLM\SYSTEM\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Zum Fixen sollte SMF immer im abgesicherten Modus ausgeführt werden, ist schon wieder nicht passiert. Wir haben also ein Log, in dem steht aber nichts besonderes.
Allerdings finde ich die Einträge

O4 - HKCU\..\Run: [ICQ]
und die SweetIm Toolbar nicht so toll.
Dem Avenger Script fehlte im übrigen ein vorrangestelltes

Zitat:

Comment:
Your script goes here

@sugar

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O4 - HKCU\..\Run: [ICQ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Programme\Macrogaming

Dann starte den Rechner im normalen Modus neu.

Jetzt würde ich noch Trojancheck 6 deinstalliern, ist eh veraltet.
Dann bitte ein neues HJT Logfile.

oh mensch alles nicht so einfach für einen absuluten laien wie mich...
hoff ich hab nicht schon wieder was falsch gemacht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:44, on 22.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe

--
End of file - 4607 bytes

Sieht super aus sugar.
Wenn Du keine Probleme mehr hast. :daumenhoc
Schön wäre es wenn Du Dich noch von Bearshare verabschieden könntest, denn damit kommt der Laie ganz schnell wieder hierhin. :)

Bitte noch:

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

ich danke euch für eure geduld mit mir :)
von baereshare werde ich mit größten vergnügen verabschieden...
bin hoffe ich problemfrei :Boogie:

ich weiß gar nicht wie ich das gut machen soll.danke nochmals @bata und boston:daumenhoc

@bata
ich lerne ja gerne durch erfahrenere boardies dazu, aber in dem skript fehlte nichts,
wenn es einfach einkopiert worden wäre, hätte es auch im ersten anlauf geklappt.
@sugar
schön, daß wir helfen konnten. was ist mit azureus?

@boston

was ist denn mit azureus?

es geht um diesen eintrag

Zitat:

2008-04-21 09:07 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureu s

benutzt du das programm? wenn ja, dann bitte nur für legale downloads.

das ist nicht nur mein rechner...also das programm ist aufjedenfall drauf ja...

hallo,
dann teile demjenigen, der es nutzt, die damit verbundene gefahr mit.
wenn zweifelhafte dateien heruntergeladen werden,
sehen wir uns hier schneller wieder, als dir lieb ist
und die infektion verläuft vielleicht nicht so glimpflich wie die in diesem thread.

ok das werde ich aufjedenfall weitergeben.
danke dir nochmal für alles und bis hoffendlich nicht bald :)

Ich habe mein ein Log gemacht mit combofix ich hoffe ihr könnt mir helfen.

ComboFix 08-04-20.5 - Vincenzo Saputo 2008-04-22 18:28:40.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1585 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vincenzo Saputo\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\Web\def.htm
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp
.
---- Previous Run -------
.
C:\Programme\akl
C:\Programme\Inet Delivery
C:\Programme\PlayMP3z
C:\Programme\PlayMP3z\PlayMP3.exe
C:\Programme\PlayMP3z\uninstall.exe
C:\WINDOWS\a.bat
C:\WINDOWS\mslagent
C:\WINDOWS\system32\baJRuBeg.ini
C:\WINDOWS\system32\baJRuBeg.ini2
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\ddcCTnKc.dll
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\geBuRJab.dll
C:\WINDOWS\system32\hdpirvqt.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\tqvripdh.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

2008-04-22 17:30 . 2008-04-22 17:30 98,304 --a------ C:\WINDOWS\system32\tmngvkpy.exe
2008-04-22 17:30 . 2008-04-22 17:30 4,096 --a------ C:\WINDOWS\system32\akttzn.exe
2008-04-22 17:20 . 2008-04-22 17:20 98,304 --a------ C:\WINDOWS\system32\lojyhslc.exe
2008-04-22 16:26 . 2008-04-22 16:26 <DIR> d-------- C:\Programme\Trend Micro
2008-04-22 16:14 . 2008-04-22 16:15 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-22 16:14 . 2008-04-22 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Malwarebytes
2008-04-22 16:14 . 2008-04-22 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-21 22:09 . 2008-04-21 22:09 16,923 --ahs---- C:\WINDOWS\system32\xaaIlnpo.ini
2008-04-21 22:07 . 2008-04-21 22:07 272,896 --a------ C:\WINDOWS\system32\opnlIaax.dll.vir
2008-04-21 22:05 . 2008-04-21 22:10 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-21 22:03 . 2008-04-21 22:03 <DIR> d-------- C:\Programme\Trojan Remover
2008-04-21 22:03 . 2008-04-21 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Simply Super Software
2008-04-21 22:03 . 2008-04-21 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-04-21 22:03 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-04-21 22:03 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-04-21 22:03 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-04-21 22:03 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-04-21 22:03 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-04-21 21:15 . 2008-04-21 21:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kzinwret
2008-04-16 19:51 . 2008-04-16 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Apple Computer
2008-04-16 18:55 . 2008-04-20 10:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-16 18:55 . 2008-04-16 18:55 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-15 21:32 . 2008-04-22 15:44 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\temp
2008-04-15 21:08 . 2008-04-15 21:08 <DIR> d-------- C:\Programme\QuickTime
2008-04-15 21:08 . 2008-04-15 21:08 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-15 21:08 . 2008-04-15 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-15 21:08 . 2008-04-15 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-14 22:18 . 2008-04-14 22:18 <DIR> d-------- C:\Programme\Pineapple Works
2008-04-13 16:10 . 2008-04-13 16:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-04-13 16:08 . 2008-04-13 16:08 <DIR> d-------- C:\Programme\Yahoo!
2008-04-13 16:08 . 2008-04-13 16:08 <DIR> d-------- C:\Programme\CCleaner
2008-04-06 18:49 . 2008-04-15 20:44 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2008-04-05 09:28 . 2008-04-05 09:28 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\Ahead
2008-04-01 20:57 . 2008-04-01 20:57 <DIR> d-------- C:\Programme\SopCast
2008-03-31 20:13 . 2008-03-31 20:13 <DIR> d-------- C:\WINDOWS\OvtCam
2008-03-31 19:56 . 2003-10-15 17:52 307,200 --a------ C:\WINDOWS\vidcap32.exe
2008-03-31 19:56 . 2003-10-15 17:52 200,704 --a------ C:\WINDOWS\sel3110.exe
2008-03-31 19:56 . 2003-10-15 17:52 174,530 --a------ C:\WINDOWS\system32\drivers\ov519vid.sys
2008-03-31 19:56 . 2003-10-15 17:52 135,168 --a------ C:\WINDOWS\ov519cap.exe
2008-03-31 19:56 . 2003-10-15 17:52 61,440 --a------ C:\WINDOWS\ov519dib.dll
2008-03-31 19:56 . 2003-10-15 17:52 40,960 --a------ C:\WINDOWS\system32\ov519ext.dll
2008-03-31 19:56 . 2003-10-15 17:52 40,960 --a------ C:\WINDOWS\CleanDev.exe
2008-03-31 19:56 . 2003-10-15 17:52 25,211 --a------ C:\WINDOWS\system32\drivers\ov519cmd.sys
2008-03-31 19:56 . 2003-10-15 17:52 25,099 --a------ C:\WINDOWS\system32\ov519ext.ax
2008-03-31 19:56 . 2003-10-15 17:52 16,426 --a------ C:\WINDOWS\system32\ov519usd.dll
2008-03-31 19:51 . 2008-03-31 19:51 <DIR> d-------- C:\Programme\Ahead
2008-03-30 21:13 . 2008-03-30 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\AVS4YOU
2008-03-30 21:13 . 2008-03-30 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-03-30 21:12 . 2008-03-30 21:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-03-30 21:12 . 2008-03-30 21:13 <DIR> d-------- C:\Programme\AVS4YOU
2008-03-30 21:04 . 2008-03-30 21:04 <DIR> d-------- C:\Programme\Xilisoft
2008-03-30 21:04 . 2005-11-21 07:48 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-03-30 21:04 . 2005-11-21 07:48 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-03-30 00:25 . 2004-08-04 01:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-03-30 00:25 . 2004-08-04 01:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-03-30 00:25 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-03-30 00:25 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-03-30 00:25 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-03-30 00:25 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-03-30 00:25 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-03-30 00:25 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-03-29 14:07 . 2008-03-29 14:07 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\DirectX
2008-03-29 14:06 . 2008-03-29 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Support
2008-03-29 14:06 . 2008-03-29 14:07 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\data
2008-03-29 14:06 . 2008-03-29 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Autorun
2008-03-29 14:06 . 2008-03-29 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\alocale
2008-03-29 14:06 . 2008-03-07 16:40 5,423,104 --a------ C:\Dokumente und Einstellungen\Vincenzo Saputo\EURO08.exe
2008-03-29 14:06 . 2008-03-13 20:26 1,784,320 --a------ C:\Dokumente und Einstellungen\Vincenzo Saputo\autorun.dat
2008-03-29 14:06 . 2008-01-28 12:54 397,312 -ra------ C:\Dokumente und Einstellungen\Vincenzo Saputo\AutoRun.exe
2008-03-29 14:06 . 2008-01-28 12:54 380,928 -ra------ C:\Dokumente und Einstellungen\Vincenzo Saputo\EASetup.exe
2008-03-29 14:06 . 2008-03-07 16:35 21,060 --a------ C:\Dokumente und Einstellungen\Vincenzo Saputo\config.dat
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 20:55 . 2008-04-21 21:50 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-28 15:00 . 2008-03-28 15:00 1,024 --ah----- C:\Dokumente und Einstellungen\Default User\NtUser.dat.LOG
2008-03-28 14:59 . 2008-03-28 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Ahead
2008-03-28 14:57 . 2008-03-28 14:57 <DIR> d-------- C:\Programme\Nero
2008-03-28 14:57 . 2008-03-28 15:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-03-28 14:57 . 2008-03-28 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-03-28 02:09 . 2008-03-28 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\MY_STAMPS
2008-03-28 02:09 . 2008-03-28 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\MY_BKG
2008-03-28 02:09 . 2008-04-05 09:28 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Meine_Bilder
2008-03-28 02:09 . 2008-03-28 11:30 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Meine_Ausweise
2008-03-26 15:54 . 2008-03-26 15:54 <DIR> d-------- C:\Programme\MSXML 4.0
2008-03-26 14:29 . 2008-04-22 15:29 <DIR> d-------- C:\Programme\NavigationAdvisor
2008-03-25 23:28 . 2008-03-25 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\Teleca
2008-03-25 19:08 . 2008-03-25 19:08 <DIR> d-------- C:\Programme\Sony Ericsson
2008-03-25 19:08 . 2008-03-25 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-03-25 19:08 . 2008-03-25 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Teleca
2008-03-25 19:08 . 2008-03-25 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2008-03-25 19:08 . 2008-03-25 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-03-25 19:08 . 2008-03-25 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-03-25 19:07 . 2008-03-25 19:07 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-03-25 19:07 . 2008-03-25 19:07 6,176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys
2008-03-25 19:07 . 2008-03-25 19:07 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2008-03-25 19:07 . 2008-03-25 19:07 5,808 --a------ C:\WINDOWS\system32\drivers\w810wh.sys
2008-03-25 19:07 . 2008-03-25 19:07 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
13 Datei(en) . 101,138,959 C:\ComboFix\Bytes
4 Datei(en) . 3,409,216 C:\ComboFix\Bytes
2 Datei(en) . 238,592 C:\ComboFix\Bytes
1 Datei(en) . 390,017 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 15:10 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\ICQ
2008-04-22 13:29 --------- d-----w C:\Programme\EA SPORTS
2008-04-21 19:15 114,688 ----a-w C:\WINDOWS\system32\shczengx.exe
2008-04-21 19:15 1,871 ----a-w C:\WINDOWS\Web\def.htm.vir
2008-04-21 13:55 --------- d-----w C:\Programme\ContextProgram
2008-04-21 11:48 94,208 ----a-w C:\WINDOWS\olgdqarf.exe.vir
2008-04-21 11:48 81,920 ----a-w C:\WINDOWS\wxvgsdbq.exe.vir
2008-04-21 11:48 217,088 ----a-w C:\WINDOWS\wdpoefan.dll.vir
2008-04-21 11:48 212,992 ----a-w C:\WINDOWS\qnmargolxpg.dll.vir
2008-04-21 11:48 188,416 ----a-w C:\WINDOWS\vadokmxt.dll.vir
2008-04-21 11:48 155,648 ----a-w C:\WINDOWS\dpevflbg.dll.vir
2008-04-21 11:11 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\ICQ
2008-04-11 17:26 --------- d-----w C:\Programme\ICQLite
2008-04-09 12:17 --------- d-----w C:\Programme\ICQ6
2008-03-27 20:44 --------- d-----w C:\Programme\FBrowsingAdvisor
2008-03-26 12:29 --------- d-----w C:\Programme\FBrowserAdvisor
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 14:59 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\DivX
2008-03-19 10:12 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-19 10:12 --------- d--h--r C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\SecuROM
2008-03-19 10:01 --------- d-----w C:\Programme\Fifa Master
2008-03-18 20:01 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\mIRC
2008-03-18 20:00 --------- d-----w C:\Programme\mIRC
2008-03-18 18:36 --------- d-----w C:\Programme\PPLive
2008-03-18 18:35 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\PPLive
2008-03-18 11:15 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-03-18 11:13 --------- d-----w C:\Programme\TextBridge Pro 9.0
2008-03-18 11:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-03-18 11:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-18 11:03 --------- d-----w C:\Programme\Ulead Systems
2008-03-15 09:12 --------- d-----w C:\Programme\UberIcon
2008-03-15 09:10 --------- d-----w C:\Programme\LClock
2008-03-15 09:09 --------- d-----w C:\Programme\Vista Drive Icon
2008-03-13 17:36 --------- d-----w C:\Programme\ICQToolbar
2008-03-13 17:36 --------- d-----w C:\Programme\ICQ618_35_47
2008-03-13 17:35 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\InstallShield
2008-03-13 17:07 --------- d-----w C:\Programme\Windows Media Connect 2
2008-03-11 21:45 --------- d-----w C:\Programme\Gemeinsame Dateien\snp2std
2008-03-11 21:44 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2008-03-11 21:44 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\ArcSoft
2008-03-11 21:43 --------- d-----w C:\Programme\ArcSoft
2008-03-11 12:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-10 19:53 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\DivX
2008-03-10 19:52 --------- d-----w C:\Programme\DivX
2008-03-08 22:45 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\Azureus
2008-03-08 18:38 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-08 17:08 --------- d-----w C:\Programme\Azureus
2008-03-08 09:00 --------- d-----w C:\Programme\Google
2008-03-07 21:50 --------- d-----w C:\Programme\Java
2008-03-07 21:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-03-07 17:23 380,928 ----a-w C:\WINDOWS\system32\WinNB58.dll.vir
2008-03-07 17:16 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-07 17:16 --------- d-----w C:\Programme\Windows Live Toolbar
2008-03-07 17:16 --------- d-----w C:\Programme\Windows Live Favorites
2008-03-07 13:45 --------- d-----w C:\Programme\Windows Live
2008-03-07 13:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-07 13:42 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\ICQ Toolbar
2008-03-07 13:28 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\ICQLite
2008-03-07 13:26 --------- d-----w C:\Dokumente und Einstellungen\Fabio Saputo\Anwendungsdaten\ATI
2008-03-07 13:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-03-07 13:08 --------- d-----w C:\Programme\IVT Corporation
2008-03-06 14:26 --------- d-----w C:\Programme\Microsoft Works
2008-03-06 14:20 --------- d-----w C:\Programme\Microsoft Works Suite 2003
2008-03-05 22:03 --------- d-----w C:\Programme\BearShare
2008-03-05 20:03 65,143 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-03-05 20:03 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-03-05 20:03 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-03-05 19:31 --------- d-----w C:\Programme\DIFX
2008-03-05 19:30 --------- d-----w C:\Programme\Realtek
2008-03-05 19:10 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\InstallShield
2008-03-05 19:06 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\ICQ Toolbar
2008-03-05 19:03 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\ICQLite
2008-03-05 18:26 --------- d-----w C:\Programme\RegCleaner
2008-03-05 18:05 --------- d-----w C:\Programme\MSI
2008-03-05 17:58 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\ATI
2008-03-05 17:55 --------- d-----w C:\Dokumente und Einstellungen\Vincenzo Saputo\Anwendungsdaten\ATI
2008-03-05 17:53 --------- d-----w C:\Programme\ATI Technologies
2008-03-05 17:52 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-05 17:52 --------- d-----w C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-03-05 17:32 --------- d-----w C:\Programme\microsoft frontpage
2008-03-05 17:31 --------- d-----w C:\Programme\Online-Dienste
2008-03-05 17:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
.

((((((((((((((((((((((((((((( snapshot@2008-04-22_17.22.48.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-22 15:19:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-22 15:30:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\anticipator.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\anticipator.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\awtoolb.dll
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\awtoolb.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\bdn.com
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\bdn.com
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\dpcproxy.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\dpcproxy.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\h@tkeysh@@k.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\h@tkeysh@@k.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\hoproxy.dll
+ 2008-04-22 15:30:42 4,096 ----a-w C:\WINDOWS\system32\hoproxy.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.dat
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.dat
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\medup012.dll
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\medup012.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\medup020.dll
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\medup020.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\msgp.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\msgp.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\msnbho.dll
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\msnbho.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\mssecu.exe
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\mssecu.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\msvchost.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\msvchost.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\mtr2.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\mtr2.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\mwin32.exe
+ 2008-04-22 15:30:42 4,096 ----a-w C:\WINDOWS\system32\mwin32.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\netode.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\netode.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\newsd32.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\newsd32.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\ps1.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\ps1.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\psof1.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\psof1.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\psoft1.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\psoft1.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\regc64.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\regc64.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\regm64.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\regm64.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\Rundl1.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\Rundl1.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\smp\msrc.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\smp\msrc.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\sncntr.exe
+ 2008-04-22 15:30:42 4,096 ----a-w C:\WINDOWS\system32\sncntr.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\ssurf022.dll
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\ssurf022.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\ssvchost.com
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\ssvchost.com
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\ssvchost.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\ssvchost.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\sysreq.exe
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\sysreq.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\taack.dat
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\taack.dat
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\taack.exe
+ 2008-04-22 15:30:41 4,096 ----a-w C:\WINDOWS\system32\taack.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\temp#01.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\temp#01.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\thun.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\thun.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\thun32.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\thun32.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\vbsys2.dll
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\vbsys2.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\vcatchpi.dll
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\vcatchpi.dll
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\winlogonpc.exe
+ 2008-04-22 15:30:42 4,096 ----a-w C:\WINDOWS\system32\winlogonpc.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\winsystem.exe
+ 2008-04-22 15:30:40 4,096 ----a-w C:\WINDOWS\system32\winsystem.exe
- 2008-04-21 19:15:53 4,096 ----a-w C:\WINDOWS\system32\WINWGPX.EXE
+ 2008-04-22 15:30:39 4,096 ----a-w C:\WINDOWS\system32\WINWGPX.EXE
.

Hallo VincenzoSap

ich habe in deinem Thread geantwortet...bitte nicht in die Logs anderer reinposten