Jump to content

Welcome to Geeks to Go - Register now for FREE

Need help with your computer or device? Want to learn new tech skills? You're in the right place!
Geeks to Go is a friendly community of tech experts who can solve any problem you have. Just create a free account and post your question. Our volunteers will reply quickly and guide you through the steps. Don't let tech troubles stop you. Join Geeks to Go now and get the support you need!

How it Works Create Account
Photo

Win32.Bagle.ij Win32.Bagle.vr and Win32.Bagle.of HELP! [RESOLVED]


  • This topic is locked This topic is locked

#1
bluenote_musicman

bluenote_musicman

    Member

  • Member
  • PipPip
  • 13 posts
Hi there!

Bagle took out AntiVir and my sound contol. Can't install HijackThis but (after 16 hours!!) Kapersky scanner spat out the log attached below.

Found thread on bagle from geekstogo and (http://www.geekstogo....ml&pid=1218887) need someone to go through the logs with me.

I've downloaded Deckard's System Scanner (DSS) but doesn't seem to be running. Have downloaded combofix renamed on download to combo-fix as well as recovery console from windows (running XP home SP2).

Tried installing several Antivirus Programmes before but the only one I can get to run is Killbox. PLEASE HELP! I'm an actor/filmmaker/musician and half my livelyhood depends on this computer.

Anyone out there to give me a hand? It's taken me 5 days to get this far, I could really do with someone who knows what they're doing!


Here is the Kapersky log (Sorry it's in German, I think it might be obvious but I'd rather translate than wait another 16 hours!):

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 19. April 2008 11:32:24
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 17/04/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 712584
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 123637
Viren gefunden: 8
Infizierte Objekte gefunden: 79
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 18:43:59

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temp\hpodvd09.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temp\~DF29AE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temp\~DF68BA.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_1[1].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_1[2].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_1[3].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_1[4].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_1[5].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_2[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_2[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_2[3].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_3[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_3[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3KEA95IS\b64_3[3].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_1[1].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_1[2].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_2[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_2[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_3[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_3[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_3[3].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9PFPRCJ\b64_3[4].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_1[1].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_1[2].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_1[3].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_2[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_2[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_3[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKVPZWJF\b64_3[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_1[1].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_1[2].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_1[3].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_1[4].jpg Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_2[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_2[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_2[3].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_3[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_3[2].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB6F03P1\b64_3[3].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008041620080417\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008041720080418\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Media Markt HD\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Program Files\Orange\setup\OrangeSearch.EXE/data0000.cab/orange4.dll Infizierte Objekte: not-a-virus:AdWare.Win32.BHO.ahy übersprungen
C:\Program Files\Orange\setup\OrangeSearch.EXE/data0000.cab Infizierte Objekte: not-a-virus:AdWare.Win32.BHO.ahy übersprungen
C:\Program Files\Orange\setup\OrangeSearch.EXE Rsrc-Package: infiziert - 2 übersprungen
C:\Programme\EyeFlex\VVSN_JAZM1042Inst.exe/data0001.cab/VVSN.exe Infizierte Objekte: not-a-virus:AdWare.Win32.SaveNow.z übersprungen
C:\Programme\EyeFlex\VVSN_JAZM1042Inst.exe/data0001.cab Infizierte Objekte: not-a-virus:AdWare.Win32.SaveNow.z übersprungen
C:\Programme\EyeFlex\VVSN_JAZM1042Inst.exe EmbeddedCAB: infiziert - 2 übersprungen
C:\Programme\HP\Digital Imaging\HPIdeas\common\content.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0296378.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ni übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0297343.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ni übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0297351.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ni übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0298343.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0299343.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0299361.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299368.exe Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299369.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299398.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299399.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299400.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299532.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299533.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299534.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ij übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299535.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299536.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299549.exe Infizierte Objekte: Email-Worm.Win32.Bagle.vr übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299570.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299572.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299573.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300569.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300571.exe/file60 Infizierte Objekte: Trojan-Downloader.Win32.Delf.gcy übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300571.exe Inno: infiziert - 1 übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300587.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300588.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300598.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300599.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300810.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300812.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300820.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300823.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300961.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300962.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301822.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.mm übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301826.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301827.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB824141$\user32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\hh.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\locator.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\osk.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\srv.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\user32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\colbact.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\comuid.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\es.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\ole32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828741$\txflog.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB839645$\shell32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB839645$\sxs.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB885835_0$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB890859_0$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\1.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
  • 0

Advertisements


#2
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
Hello

Please download ATF Cleaner by Atribune.
This program is for XP and Windows 2000 onlyDouble-click ATF-Cleaner.exe to run the program.
Under Main choose: Select All
Click the Empty Selected button.
If you use Firefox browserClick Firefox at the top and choose: Select All
Click the Empty Selected button.
NOTE: If you would like to keep your saved passwords, please click No at the prompt.
If you use Opera browserClick Opera at the top and choose: Select All
Click the Empty Selected button.
NOTE: If you would like to keep your saved passwords, please click No at the prompt.
Click Exit on the Main menu to close the program.



Please download ComboFix from Here or Here to your Desktop.

**Note: In the event you already have Combofix, this is a new version that I need you to download. It is important that it is saved and renamed following this process directly to your desktop**
  • If you are using Firefox, make sure that your download settings are as follows:
    • Tools->Options->Main tab
    • Set to "Always ask me where to Save the files".
  • During the download, rename Combofix to Combo-Fix as follows:

    Posted Image

    Posted Image

  • It is important you rename Combofix during the download, but not after.
  • Please do not rename Combofix to other names, but only to the one indicated.
  • Close any open browsers.
  • Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.

    -----------------------------------------------------------

    • Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with ComboFix or remove some of its embedded files which may cause "unpredictable results".
    • Click on this link to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.

      -----------------------------------------------------------

    • Close any open browsers.
    • WARNING: Combofix will disconnect your machine from the Internet as soon as it starts
    • Please do not attempt to re-connect your machine back to the Internet until Combofix has completely finished.
    • If there is no internet connection after running Combofix, then restart your computer to restore back your connection.

    -----------------------------------------------------------

  • Double click on combo-Fix.exe & follow the prompts.
  • When finished, it will produce a report for you.
  • Please post the "C:\Combo-Fix.txt" along with a new HijackThis log for further review.
**Note: Do not mouseclick combo-fix's window while it's running. That may cause it to stall**



Please download the OTMoveIt2 by OldTimer.
  • Save it to your desktop.
  • Please double-click OTMoveIt2.exe to run it.
  • Copy the file paths below to the clipboard by highlighting ALL of them and pressing CTRL + C (or, after highlighting, right-click and choose Copy):

    [kill explorer]
    C:\Program Files\Orange\setup\OrangeSearch.EXE
    C:\Programme\EyeFlex\VVSN_JAZM1042Inst.exe
    C:\WINDOWS\system32\1.exe
    purity 
    [start explorer]
  • Return to OTMoveIt2, right click in the "Paste List of Files/Folders to Move" window (under the light Yellow bar) and choose Paste.
  • Click the red Moveit! button.
  • A log of files and folders moved will be created in the c:\_OTMoveIt\MovedFiles folder in the form of Date and Time (mmddyyyy_hhmmss.log). Please open this log in Notepad and post its contents in your next reply.
  • Close OTMoveIt2
If a file or folder cannot be moved immediately you may be asked to reboot the machine to finish the move process. If you are asked to reboot the machine choose Yes.
  • 0

#3
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Hello Rorschach and thank you! Sorry for the late reply, have been working. Will do the above now and get back to you with logs, etc.

Chris
  • 0

#4
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
Ok cool :)
  • 0

#5
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Hi Rorshach!

Ok, here it is. Had to rename ATF before it would work but after it got through I ran the other two. Here are the logs. Want me to install HiJackThis and run a log too?


Combofix Log

ComboFix 08-04-22.5 - Media Markt HD 2008-04-24 22:33:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.277 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Media Markt HD\Desktop\Combo-Fix.exe
Command switches used :: C:\Dokumente und Einstellungen\Media Markt HD\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\100174.exe
C:\WINDOWS\system32\drivers\downld\101886.exe
C:\WINDOWS\system32\drivers\downld\102377.exe
C:\WINDOWS\system32\drivers\downld\103919.exe
C:\WINDOWS\system32\drivers\downld\104009.exe
C:\WINDOWS\system32\drivers\downld\105590551.exe
C:\WINDOWS\system32\drivers\downld\105610600.exe
C:\WINDOWS\system32\drivers\downld\105618441.exe
C:\WINDOWS\system32\drivers\downld\105659290.exe
C:\WINDOWS\system32\drivers\downld\105670235.exe
C:\WINDOWS\system32\drivers\downld\105683334.exe
C:\WINDOWS\system32\drivers\downld\105686589.exe
C:\WINDOWS\system32\drivers\downld\1112509.exe
C:\WINDOWS\system32\drivers\downld\1115894.exe
C:\WINDOWS\system32\drivers\downld\1136904.exe
C:\WINDOWS\system32\drivers\downld\114594.exe
C:\WINDOWS\system32\drivers\downld\1147369.exe
C:\WINDOWS\system32\drivers\downld\118350.exe
C:\WINDOWS\system32\drivers\downld\119131.exe
C:\WINDOWS\system32\drivers\downld\120089499.exe
C:\WINDOWS\system32\drivers\downld\120104030.exe
C:\WINDOWS\system32\drivers\downld\120143767.exe
C:\WINDOWS\system32\drivers\downld\120151238.exe
C:\WINDOWS\system32\drivers\downld\120189563.exe
C:\WINDOWS\system32\drivers\downld\120229310.exe
C:\WINDOWS\system32\drivers\downld\120245614.exe
C:\WINDOWS\system32\drivers\downld\120252503.exe
C:\WINDOWS\system32\drivers\downld\120543.exe
C:\WINDOWS\system32\drivers\downld\121234.exe
C:\WINDOWS\system32\drivers\downld\127373.exe
C:\WINDOWS\system32\drivers\downld\130387.exe
C:\WINDOWS\system32\drivers\downld\1307029.exe
C:\WINDOWS\system32\drivers\downld\133431.exe
C:\WINDOWS\system32\drivers\downld\134658729.exe
C:\WINDOWS\system32\drivers\downld\134679428.exe
C:\WINDOWS\system32\drivers\downld\134695772.exe
C:\WINDOWS\system32\drivers\downld\134703693.exe
C:\WINDOWS\system32\drivers\downld\134763890.exe
C:\WINDOWS\system32\drivers\downld\134812209.exe
C:\WINDOWS\system32\drivers\downld\134816646.exe
C:\WINDOWS\system32\drivers\downld\1354657.exe
C:\WINDOWS\system32\drivers\downld\1364261.exe
C:\WINDOWS\system32\drivers\downld\1369028.exe
C:\WINDOWS\system32\drivers\downld\137377.exe
C:\WINDOWS\system32\drivers\downld\139881.exe
C:\WINDOWS\system32\drivers\downld\140702.exe
C:\WINDOWS\system32\drivers\downld\142665.exe
C:\WINDOWS\system32\drivers\downld\143316.exe
C:\WINDOWS\system32\drivers\downld\143616.exe
C:\WINDOWS\system32\drivers\downld\145489.exe
C:\WINDOWS\system32\drivers\downld\145569.exe
C:\WINDOWS\system32\drivers\downld\14641823.exe
C:\WINDOWS\system32\drivers\downld\14817085.exe
C:\WINDOWS\system32\drivers\downld\14822042.exe
C:\WINDOWS\system32\drivers\downld\14859276.exe
C:\WINDOWS\system32\drivers\downld\14905362.exe
C:\WINDOWS\system32\drivers\downld\14914485.exe
C:\WINDOWS\system32\drivers\downld\14916899.exe
C:\WINDOWS\system32\drivers\downld\149220527.exe
C:\WINDOWS\system32\drivers\downld\149227688.exe
C:\WINDOWS\system32\drivers\downld\149246625.exe
C:\WINDOWS\system32\drivers\downld\149255087.exe
C:\WINDOWS\system32\drivers\downld\14927694.exe
C:\WINDOWS\system32\drivers\downld\14931660.exe
C:\WINDOWS\system32\drivers\downld\149429888.exe
C:\WINDOWS\system32\drivers\downld\149467232.exe
C:\WINDOWS\system32\drivers\downld\149474392.exe
C:\WINDOWS\system32\drivers\downld\149478208.exe
C:\WINDOWS\system32\drivers\downld\150155.exe
C:\WINDOWS\system32\drivers\downld\15069088.exe
C:\WINDOWS\system32\drivers\downld\15086713.exe
C:\WINDOWS\system32\drivers\downld\15088446.exe
C:\WINDOWS\system32\drivers\downld\15114563.exe
C:\WINDOWS\system32\drivers\downld\151317.exe
C:\WINDOWS\system32\drivers\downld\15149083.exe
C:\WINDOWS\system32\drivers\downld\15160209.exe
C:\WINDOWS\system32\drivers\downld\15172997.exe
C:\WINDOWS\system32\drivers\downld\15185145.exe
C:\WINDOWS\system32\drivers\downld\152499.exe
C:\WINDOWS\system32\drivers\downld\155914.exe
C:\WINDOWS\system32\drivers\downld\15646338.exe
C:\WINDOWS\system32\drivers\downld\156545.exe
C:\WINDOWS\system32\drivers\downld\15760902.exe
C:\WINDOWS\system32\drivers\downld\15818686.exe
C:\WINDOWS\system32\drivers\downld\158197.exe
C:\WINDOWS\system32\drivers\downld\158267.exe
C:\WINDOWS\system32\drivers\downld\15845023.exe
C:\WINDOWS\system32\drivers\downld\158968.exe
C:\WINDOWS\system32\drivers\downld\159449.exe
C:\WINDOWS\system32\drivers\downld\162113.exe
C:\WINDOWS\system32\drivers\downld\162733.exe
C:\WINDOWS\system32\drivers\downld\16281221.exe
C:\WINDOWS\system32\drivers\downld\16296262.exe
C:\WINDOWS\system32\drivers\downld\16321539.exe
C:\WINDOWS\system32\drivers\downld\16369598.exe
C:\WINDOWS\system32\drivers\downld\163881849.exe
C:\WINDOWS\system32\drivers\downld\163892895.exe
C:\WINDOWS\system32\drivers\downld\163897922.exe
C:\WINDOWS\system32\drivers\downld\163909679.exe
C:\WINDOWS\system32\drivers\downld\164073344.exe
C:\WINDOWS\system32\drivers\downld\164091721.exe
C:\WINDOWS\system32\drivers\downld\164100784.exe
C:\WINDOWS\system32\drivers\downld\164104950.exe
C:\WINDOWS\system32\drivers\downld\16460699.exe
C:\WINDOWS\system32\drivers\downld\16630142.exe
C:\WINDOWS\system32\drivers\downld\16760900.exe
C:\WINDOWS\system32\drivers\downld\16845973.exe
C:\WINDOWS\system32\drivers\downld\16888744.exe
C:\WINDOWS\system32\drivers\downld\1709728.exe
C:\WINDOWS\system32\drivers\downld\176533.exe
C:\WINDOWS\system32\drivers\downld\178136.exe
C:\WINDOWS\system32\drivers\downld\178306.exe
C:\WINDOWS\system32\drivers\downld\178507620.exe
C:\WINDOWS\system32\drivers\downld\178514670.exe
C:\WINDOWS\system32\drivers\downld\178520969.exe
C:\WINDOWS\system32\drivers\downld\178533347.exe
C:\WINDOWS\system32\drivers\downld\178599873.exe
C:\WINDOWS\system32\drivers\downld\178613031.exe
C:\WINDOWS\system32\drivers\downld\178617648.exe
C:\WINDOWS\system32\drivers\downld\178629946.exe
C:\WINDOWS\system32\drivers\downld\178643055.exe
C:\WINDOWS\system32\drivers\downld\1811314.exe
C:\WINDOWS\system32\drivers\downld\183153.exe
C:\WINDOWS\system32\drivers\downld\1847847.exe
C:\WINDOWS\system32\drivers\downld\185356.exe
C:\WINDOWS\system32\drivers\downld\187699.exe
C:\WINDOWS\system32\drivers\downld\189842.exe
C:\WINDOWS\system32\drivers\downld\193050762.exe
C:\WINDOWS\system32\drivers\downld\193067896.exe
C:\WINDOWS\system32\drivers\downld\193084190.exe
C:\WINDOWS\system32\drivers\downld\193092692.exe
C:\WINDOWS\system32\drivers\downld\193152088.exe
C:\WINDOWS\system32\drivers\downld\193160920.exe
C:\WINDOWS\system32\drivers\downld\193166849.exe
C:\WINDOWS\system32\drivers\downld\193175010.exe
C:\WINDOWS\system32\drivers\downld\193179417.exe
C:\WINDOWS\system32\drivers\downld\195320.exe
C:\WINDOWS\system32\drivers\downld\196061.exe
C:\WINDOWS\system32\drivers\downld\196993.exe
C:\WINDOWS\system32\drivers\downld\199136.exe
C:\WINDOWS\system32\drivers\downld\203332.exe
C:\WINDOWS\system32\drivers\downld\205094.exe
C:\WINDOWS\system32\drivers\downld\207207.exe
C:\WINDOWS\system32\drivers\downld\207458.exe
C:\WINDOWS\system32\drivers\downld\207582868.exe
C:\WINDOWS\system32\drivers\downld\207585732.exe
C:\WINDOWS\system32\drivers\downld\207606472.exe
C:\WINDOWS\system32\drivers\downld\207613402.exe
C:\WINDOWS\system32\drivers\downld\207750639.exe
C:\WINDOWS\system32\drivers\downld\207758691.exe
C:\WINDOWS\system32\drivers\downld\207761645.exe
C:\WINDOWS\system32\drivers\downld\207771439.exe
C:\WINDOWS\system32\drivers\downld\207774924.exe
C:\WINDOWS\system32\drivers\downld\207868.exe
C:\WINDOWS\system32\drivers\downld\216971.exe
C:\WINDOWS\system32\drivers\downld\222180438.exe
C:\WINDOWS\system32\drivers\downld\222186577.exe
C:\WINDOWS\system32\drivers\downld\222207487.exe
C:\WINDOWS\system32\drivers\downld\222214938.exe
C:\WINDOWS\system32\drivers\downld\222235667.exe
C:\WINDOWS\system32\drivers\downld\222248416.exe
C:\WINDOWS\system32\drivers\downld\222253513.exe
C:\WINDOWS\system32\drivers\downld\222261214.exe
C:\WINDOWS\system32\drivers\downld\222265851.exe
C:\WINDOWS\system32\drivers\downld\225013.exe
C:\WINDOWS\system32\drivers\downld\225574.exe
C:\WINDOWS\system32\drivers\downld\229980.exe
C:\WINDOWS\system32\drivers\downld\233215.exe
C:\WINDOWS\system32\drivers\downld\236669853.exe
C:\WINDOWS\system32\drivers\downld\236677924.exe
C:\WINDOWS\system32\drivers\downld\236687678.exe
C:\WINDOWS\system32\drivers\downld\236696631.exe
C:\WINDOWS\system32\drivers\downld\236839026.exe
C:\WINDOWS\system32\drivers\downld\236847148.exe
C:\WINDOWS\system32\drivers\downld\236852225.exe
C:\WINDOWS\system32\drivers\downld\236861829.exe
C:\WINDOWS\system32\drivers\downld\236865344.exe
C:\WINDOWS\system32\drivers\downld\241276.exe
C:\WINDOWS\system32\drivers\downld\243640.exe
C:\WINDOWS\system32\drivers\downld\248627.exe
C:\WINDOWS\system32\drivers\downld\251267884.exe
C:\WINDOWS\system32\drivers\downld\251273311.exe
C:\WINDOWS\system32\drivers\downld\251281012.exe
C:\WINDOWS\system32\drivers\downld\251316844.exe
C:\WINDOWS\system32\drivers\downld\251332557.exe
C:\WINDOWS\system32\drivers\downld\251338044.exe
C:\WINDOWS\system32\drivers\downld\251346206.exe
C:\WINDOWS\system32\drivers\downld\251349851.exe
C:\WINDOWS\system32\drivers\downld\256398.exe
C:\WINDOWS\system32\drivers\downld\256919.exe
C:\WINDOWS\system32\drivers\downld\260574.exe
C:\WINDOWS\system32\drivers\downld\265021.exe
C:\WINDOWS\system32\drivers\downld\265753032.exe
C:\WINDOWS\system32\drivers\downld\265755416.exe
C:\WINDOWS\system32\drivers\downld\265761705.exe
C:\WINDOWS\system32\drivers\downld\265772911.exe
C:\WINDOWS\system32\drivers\downld\265975672.exe
C:\WINDOWS\system32\drivers\downld\265984084.exe
C:\WINDOWS\system32\drivers\downld\265987870.exe
C:\WINDOWS\system32\drivers\downld\266004243.exe
C:\WINDOWS\system32\drivers\downld\266008600.exe
C:\WINDOWS\system32\drivers\downld\269427.exe
C:\WINDOWS\system32\drivers\downld\280414765.exe
C:\WINDOWS\system32\drivers\downld\280425620.exe
C:\WINDOWS\system32\drivers\downld\280436546.exe
C:\WINDOWS\system32\drivers\downld\280583.exe
C:\WINDOWS\system32\drivers\downld\280604698.exe
C:\WINDOWS\system32\drivers\downld\280617927.exe
C:\WINDOWS\system32\drivers\downld\280622664.exe
C:\WINDOWS\system32\drivers\downld\280634661.exe
C:\WINDOWS\system32\drivers\downld\280641781.exe
C:\WINDOWS\system32\drivers\downld\282175.exe
C:\WINDOWS\system32\drivers\downld\292690.exe
C:\WINDOWS\system32\drivers\downld\29342622.exe
C:\WINDOWS\system32\drivers\downld\29353598.exe
C:\WINDOWS\system32\drivers\downld\29372885.exe
C:\WINDOWS\system32\drivers\downld\29380366.exe
C:\WINDOWS\system32\drivers\downld\295050850.exe
C:\WINDOWS\system32\drivers\downld\295062327.exe
C:\WINDOWS\system32\drivers\downld\295070579.exe
C:\WINDOWS\system32\drivers\downld\295218631.exe
C:\WINDOWS\system32\drivers\downld\295228836.exe
C:\WINDOWS\system32\drivers\downld\295233843.exe
C:\WINDOWS\system32\drivers\downld\295242145.exe
C:\WINDOWS\system32\drivers\downld\295247553.exe
C:\WINDOWS\system32\drivers\downld\29593553.exe
C:\WINDOWS\system32\drivers\downld\29604208.exe
C:\WINDOWS\system32\drivers\downld\29606401.exe
C:\WINDOWS\system32\drivers\downld\29641392.exe
C:\WINDOWS\system32\drivers\downld\29704052.exe
C:\WINDOWS\system32\drivers\downld\29731061.exe
C:\WINDOWS\system32\drivers\downld\29738722.exe
C:\WINDOWS\system32\drivers\downld\29752221.exe
C:\WINDOWS\system32\drivers\downld\299941.exe
C:\WINDOWS\system32\drivers\downld\30289574.exe
C:\WINDOWS\system32\drivers\downld\30445267.exe
C:\WINDOWS\system32\drivers\downld\307351.exe
C:\WINDOWS\system32\drivers\downld\309651435.exe
C:\WINDOWS\system32\drivers\downld\309660608.exe
C:\WINDOWS\system32\drivers\downld\309677001.exe
C:\WINDOWS\system32\drivers\downld\309685764.exe
C:\WINDOWS\system32\drivers\downld\309745690.exe
C:\WINDOWS\system32\drivers\downld\309748855.exe
C:\WINDOWS\system32\drivers\downld\309755885.exe
C:\WINDOWS\system32\drivers\downld\309760291.exe
C:\WINDOWS\system32\drivers\downld\312319.exe
C:\WINDOWS\system32\drivers\downld\31352953.exe
C:\WINDOWS\system32\drivers\downld\31429993.exe
C:\WINDOWS\system32\drivers\downld\31528325.exe
C:\WINDOWS\system32\drivers\downld\31820525.exe
C:\WINDOWS\system32\drivers\downld\31958744.exe
C:\WINDOWS\system32\drivers\downld\32053760.exe
C:\WINDOWS\system32\drivers\downld\32099877.exe
C:\WINDOWS\system32\drivers\downld\321061.exe
C:\WINDOWS\system32\drivers\downld\321482.exe
C:\WINDOWS\system32\drivers\downld\324165725.exe
C:\WINDOWS\system32\drivers\downld\324175519.exe
C:\WINDOWS\system32\drivers\downld\324183851.exe
C:\WINDOWS\system32\drivers\downld\324264637.exe
C:\WINDOWS\system32\drivers\downld\324275723.exe
C:\WINDOWS\system32\drivers\downld\324280520.exe
C:\WINDOWS\system32\drivers\downld\324288031.exe
C:\WINDOWS\system32\drivers\downld\324293729.exe
C:\WINDOWS\system32\drivers\downld\326128.exe
C:\WINDOWS\system32\drivers\downld\33000872.exe
C:\WINDOWS\system32\drivers\downld\33015834.exe
C:\WINDOWS\system32\drivers\downld\33022744.exe
C:\WINDOWS\system32\drivers\downld\33026028.exe
C:\WINDOWS\system32\drivers\downld\332848.exe
C:\WINDOWS\system32\drivers\downld\333129.exe
C:\WINDOWS\system32\drivers\downld\336183.exe
C:\WINDOWS\system32\drivers\downld\338696359.exe
C:\WINDOWS\system32\drivers\downld\338698152.exe
C:\WINDOWS\system32\drivers\downld\338703229.exe
C:\WINDOWS\system32\drivers\downld\338714045.exe
C:\WINDOWS\system32\drivers\downld\338944546.exe
C:\WINDOWS\system32\drivers\downld\338961580.exe
C:\WINDOWS\system32\drivers\downld\338969201.exe
C:\WINDOWS\system32\drivers\downld\338977894.exe
C:\WINDOWS\system32\drivers\downld\338982140.exe
C:\WINDOWS\system32\drivers\downld\339948.exe
C:\WINDOWS\system32\drivers\downld\343654.exe
C:\WINDOWS\system32\drivers\downld\34824925.exe
C:\WINDOWS\system32\drivers\downld\34997183.exe
C:\WINDOWS\system32\drivers\downld\350764.exe
C:\WINDOWS\system32\drivers\downld\35088083.exe
C:\WINDOWS\system32\drivers\downld\35161119.exe
C:\WINDOWS\system32\drivers\downld\353389126.exe
C:\WINDOWS\system32\drivers\downld\353395876.exe
C:\WINDOWS\system32\drivers\downld\353402355.exe
C:\WINDOWS\system32\drivers\downld\353414883.exe
C:\WINDOWS\system32\drivers\downld\353485114.exe
C:\WINDOWS\system32\drivers\downld\353504742.exe
C:\WINDOWS\system32\drivers\downld\353515017.exe
C:\WINDOWS\system32\drivers\downld\353525913.exe
C:\WINDOWS\system32\drivers\downld\355911.exe
C:\WINDOWS\system32\drivers\downld\356041.exe
C:\WINDOWS\system32\drivers\downld\362931.exe
C:\WINDOWS\system32\drivers\downld\367198.exe
C:\WINDOWS\system32\drivers\downld\367953939.exe
C:\WINDOWS\system32\drivers\downld\367964374.exe
C:\WINDOWS\system32\drivers\downld\367975851.exe
C:\WINDOWS\system32\drivers\downld\368178152.exe
C:\WINDOWS\system32\drivers\downld\368198932.exe
C:\WINDOWS\system32\drivers\downld\368211049.exe
C:\WINDOWS\system32\drivers\downld\368218950.exe
C:\WINDOWS\system32\drivers\downld\377673.exe
C:\WINDOWS\system32\drivers\downld\377873.exe
C:\WINDOWS\system32\drivers\downld\380256.exe
C:\WINDOWS\system32\drivers\downld\382622942.exe
C:\WINDOWS\system32\drivers\downld\382639716.exe
C:\WINDOWS\system32\drivers\downld\382647848.exe
C:\WINDOWS\system32\drivers\downld\382745719.exe
C:\WINDOWS\system32\drivers\downld\382768612.exe
C:\WINDOWS\system32\drivers\downld\382776052.exe
C:\WINDOWS\system32\drivers\downld\382779928.exe
C:\WINDOWS\system32\drivers\downld\391332.exe
C:\WINDOWS\system32\drivers\downld\396149.exe
C:\WINDOWS\system32\drivers\downld\397182838.exe
C:\WINDOWS\system32\drivers\downld\397190629.exe
C:\WINDOWS\system32\drivers\downld\397219571.exe
C:\WINDOWS\system32\drivers\downld\397227913.exe
C:\WINDOWS\system32\drivers\downld\397244076.exe
C:\WINDOWS\system32\drivers\downld\397255663.exe
C:\WINDOWS\system32\drivers\downld\397263434.exe
C:\WINDOWS\system32\drivers\downld\397267580.exe
C:\WINDOWS\system32\drivers\downld\398182.exe
C:\WINDOWS\system32\drivers\downld\405803.exe
C:\WINDOWS\system32\drivers\downld\410890.exe
C:\WINDOWS\system32\drivers\downld\411671362.exe
C:\WINDOWS\system32\drivers\downld\411691491.exe
C:\WINDOWS\system32\drivers\downld\411698751.exe
C:\WINDOWS\system32\drivers\downld\415335891.exe
C:\WINDOWS\system32\drivers\downld\415349460.exe
C:\WINDOWS\system32\drivers\downld\415357482.exe
C:\WINDOWS\system32\drivers\downld\415361818.exe
C:\WINDOWS\system32\drivers\downld\429767502.exe
C:\WINDOWS\system32\drivers\downld\429781062.exe
C:\WINDOWS\system32\drivers\downld\429792138.exe
C:\WINDOWS\system32\drivers\downld\430447360.exe
C:\WINDOWS\system32\drivers\downld\439411.exe
C:\WINDOWS\system32\drivers\downld\454894.exe
C:\WINDOWS\system32\drivers\downld\464117.exe
C:\WINDOWS\system32\drivers\downld\471848.exe
C:\WINDOWS\system32\drivers\downld\47430882.exe
C:\WINDOWS\system32\drivers\downld\47438522.exe
C:\WINDOWS\system32\drivers\downld\47459863.exe
C:\WINDOWS\system32\drivers\downld\47469026.exe
C:\WINDOWS\system32\drivers\downld\47500982.exe
C:\WINDOWS\system32\drivers\downld\47521962.exe
C:\WINDOWS\system32\drivers\downld\47542422.exe
C:\WINDOWS\system32\drivers\downld\47548300.exe
C:\WINDOWS\system32\drivers\downld\522671.exe
C:\WINDOWS\system32\drivers\downld\535259.exe
C:\WINDOWS\system32\drivers\downld\542730.exe
C:\WINDOWS\system32\drivers\downld\551432.exe
C:\WINDOWS\system32\drivers\downld\61952492.exe
C:\WINDOWS\system32\drivers\downld\61962437.exe
C:\WINDOWS\system32\drivers\downld\61970418.exe
C:\WINDOWS\system32\drivers\downld\62012719.exe
C:\WINDOWS\system32\drivers\downld\62024857.exe
C:\WINDOWS\system32\drivers\downld\62034130.exe
C:\WINDOWS\system32\drivers\downld\62037415.exe
C:\WINDOWS\system32\drivers\downld\626130.exe
C:\WINDOWS\system32\drivers\downld\640961.exe
C:\WINDOWS\system32\drivers\downld\646950.exe
C:\WINDOWS\system32\drivers\downld\650365.exe
C:\WINDOWS\system32\drivers\downld\658436.exe
C:\WINDOWS\system32\drivers\downld\660059.exe
C:\WINDOWS\system32\drivers\downld\660259.exe
C:\WINDOWS\system32\drivers\downld\667930.exe
C:\WINDOWS\system32\drivers\downld\674209.exe
C:\WINDOWS\system32\drivers\downld\687849.exe
C:\WINDOWS\system32\drivers\downld\696842.exe
C:\WINDOWS\system32\drivers\downld\701007.exe
C:\WINDOWS\system32\drivers\downld\76440725.exe
C:\WINDOWS\system32\drivers\downld\76445873.exe
C:\WINDOWS\system32\drivers\downld\76470168.exe
C:\WINDOWS\system32\drivers\downld\76479441.exe
C:\WINDOWS\system32\drivers\downld\76521231.exe
C:\WINDOWS\system32\drivers\downld\76534390.exe
C:\WINDOWS\system32\drivers\downld\76542972.exe
C:\WINDOWS\system32\drivers\downld\76554850.exe
C:\WINDOWS\system32\drivers\downld\847158.exe
C:\WINDOWS\system32\drivers\downld\868278.exe
C:\WINDOWS\system32\drivers\downld\86965.exe
C:\WINDOWS\system32\drivers\downld\879765.exe
C:\WINDOWS\system32\drivers\downld\886725.exe
C:\WINDOWS\system32\drivers\downld\88847.exe
C:\WINDOWS\system32\drivers\downld\90961585.exe
C:\WINDOWS\system32\drivers\downld\90979411.exe
C:\WINDOWS\system32\drivers\downld\90991448.exe
C:\WINDOWS\system32\drivers\downld\91148494.exe
C:\WINDOWS\system32\drivers\downld\91161873.exe
C:\WINDOWS\system32\drivers\downld\91170976.exe
C:\WINDOWS\system32\drivers\downld\91178397.exe
C:\WINDOWS\system32\drivers\downld\99112.exe
C:\WINDOWS\system32\drivers\downld\991756.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-22 02:17 . 2008-04-22 02:17 <DIR> d-------- C:\Deckard
2008-04-17 20:47 . 2008-04-17 20:47 <DIR> d-------- C:\VundoFix Backups
2008-04-17 18:57 . 2008-04-17 18:57 <DIR> d-------- C:\!KillBox
2008-04-16 14:06 . 2008-04-25 00:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-16 14:04 . 2008-03-04 16:49 159,112 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-04-16 14:03 . 2008-04-16 14:04 <DIR> d-------- C:\Programme\Spyware Doctor
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\PC Tools
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-04-16 14:03 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-16 14:03 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-16 14:03 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-16 14:03 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-04-16 02:13 . 2008-04-16 02:13 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-04-16 01:58 . 2008-04-16 01:58 26 --a------ C:\WINDOWS\Lic.xxx
2008-04-16 01:57 . 2004-08-04 08:58 153,600 --a------ C:\WINDOWS\R.COM
2008-04-16 01:57 . 2004-08-04 08:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-04-16 01:08 . 2008-04-16 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-15 14:22 . 2008-04-15 14:22 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-15 14:22 . 2008-04-15 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-15 04:11 . 2008-04-15 04:30 0 --a------ C:\statistics.xml
2008-04-15 04:09 . 2001-08-23 17:00 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-04-10 01:53 . 2008-04-25 00:17 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-10 01:53 . 2008-04-10 01:53 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 22:38 --------- d-----w C:\Programme\SlySoft
2008-04-15 01:25 --------- d-----w C:\Programme\eMule
2008-04-15 00:27 --------- d-----w C:\Programme\MySpace
2008-03-16 22:05 --------- d-----w C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\Image Zone Express
2008-03-14 14:00 --------- d-----w C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\Skype
2008-03-06 12:16 --------- d-----w C:\Programme\EasyCleaner
2005-09-21 18:46 1,840 ------w C:\Programme\SeriaWinXPProfEnglish.txt
2005-01-07 01:40 12,183 ------w C:\Programme\INSTALL.LOG
2006-12-10 14:18 56 --sh--r C:\WINDOWS\system32\04CBDC7715.sys
2006-12-10 14:18 2,098 --sh--w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"WebCamRT.exe"="" []
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-02-01 21:32 8699904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 10:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-12-10 02:36 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"H2OWIBU"="C:\Programme\WIBUKEY\H2O\CXWibu.exe" [2005-10-01 00:00 350208]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-14 10:00 267064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 23:10 229416]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 11:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-02-01 21:32 8699904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll 2003-12-16 16:49 110592 C:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.DVSD"= RALCodec.dll
"VIDC.JPGL"= jpgl.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
-r------- 2003-07-25 04:22 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--------- 2005-01-02 19:36 452608 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--------- 2001-09-04 09:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--------- 2004-02-03 20:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--------- 2007-09-14 10:00 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KTPWare]
--------- 2003-11-27 18:32 258048 C:\Programme\Elantech\ktp3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--------- 2007-06-29 06:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchKey]
--------- 2003-11-12 13:53 36864 C:\Programme\MSI\SearchKey\StartKBHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PhnxVCDService"=3 (0x3)
"iPodService"=3 (0x3)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"=

R0 FantomDVDBus;FantomDVD Bus Driver;C:\WINDOWS\system32\DRIVERS\FantomDVDBus.sys [2005-05-27 15:07]
R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2003-10-20 18:09]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-04 16:49]
R2 portD;CMS PortIO Service;C:\WINDOWS\system32\DRIVERS\portd2k.sys [2005-11-14 14:59]
R3 cxwibu;Team H2O WIBU Driver;C:\Programme\WIBUKEY\H2O\cxwibu.sys [2005-10-01 00:00]
R3 Ktp3;Elantech TouchPad(KTP3);C:\WINDOWS\system32\DRIVERS\Ktp3.sys [2004-03-03 16:20]
R3 MA763010;M-Audio Fast Track;C:\WINDOWS\system32\drivers\MA763010.sys [2004-08-31 15:57]
R3 PhnxVcd;PhnxVcd;C:\WINDOWS\system32\Drivers\PhnxVcd.sys [2004-01-05 19:39]
S0 FantomDVDPort;FantomDVD Scsi Miniport Driver;C:\WINDOWS\system32\Drivers\FantomDVDPort.sys []
S1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
S3 QCPro;Logitech QuickCam Pro USB(PID_D001);C:\WINDOWS\system32\DRIVERS\p35u.sys [2001-09-24 09:42]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 00:16:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\system32\MLANG.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\M-Audio Fast Track\GBInst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\CMS Products\BounceBack Express\BBLauncher.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-25 0:29:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 23:28:56

16 Verzeichnis(se), 19,227,475,968 Bytes frei
20 Verzeichnis(se), 19,430,158,336 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

595 --- E O F --- 2008-04-09 11:00:07


OTMoveit Log:

Explorer killed successfully
C:\Program Files\Orange\setup\OrangeSearch.EXE moved successfully.
C:\Programme\EyeFlex\VVSN_JAZM1042Inst.exe moved successfully.
File/Folder C:\WINDOWS\system32\1.exe not found.
< purity >
Explorer started successfully

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04252008_003038
  • 0

#6
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
Hello

1. Close any open browsers.

2. Open notepad and copy/paste the text in the quotebox below into it:

File::
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM

Folder::
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Registry::

Driver::


Save this as CFScript.txt, in the same location as ComboFix.exe


Posted Image

Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at "C:\ComboFix.txt"

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall





Please download and unzip Icesword to its own folder on your desktop


If you get a lot of "red entries" in an IceSword log, don't panic.

Step 1 : Close all windows and run IceSword. Click the Processes tab and watch for processes displayed in red color. A red colored process in this list indicates that it's hidden. Write down the PathName of any processes in red color. Then click on LOG at the top left. It will prompt you to save the log, call this Processes and save it to your desktop.


Step 2 : Click the Win32 Services tab and look out for red colored entries in the services list. Write down the Module name of any services in red color, you will need to expand out the Module tab to see the full name. Then click on LOG. It will prompt you to save the log, call this Services and save it to your desktop.


Step 3 : Click the Startup tab and look out for red colored entries in the startup list. Write down the Path of any startup entries in red color. Then click on LOG. It will prompt you to save the log, call this Startup and save it to your desktop.


Step 4 : Click the SSDT tab and check for red colored entries. If there are any, write down the KModule name.


Step 5 : Click the Message Hooks tab and check for any entries that are underneath Type and labelled WH_KEYBOARD. Write down the Process Path of these entries if present.



Now post all of the data collected under the headings for :

Processes
Win32 Services
Startup
SSDT
Message Hooks

  • 0

#7
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Right, will do. Back in a bit.
  • 0

#8
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Here it is:

Combofix

ComboFix 08-04-22.5 - Media Markt HD 2008-04-25 1:22:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.208 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Media Markt HD\Desktop\Combo-Fix.exe
Command switches used :: C:\Dokumente und Einstellungen\Media Markt HD\Desktop\CFscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Lic.xxx
C:\WINDOWS\logo1_.exe
C:\WINDOWS\R.COM
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\zts2.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


((((((((((((((((((((((( Dateien erstellt von 2008-03-25 bis 2008-04-25 ))))))))))))))))))))))))))))))
.

2008-04-25 00:30 . 2008-04-25 00:30 <DIR> d-------- C:\_OTMoveIt
2008-04-22 02:17 . 2008-04-22 02:17 <DIR> d-------- C:\Deckard
2008-04-17 20:47 . 2008-04-17 20:47 <DIR> d-------- C:\VundoFix Backups
2008-04-17 18:57 . 2008-04-17 18:57 <DIR> d-------- C:\!KillBox
2008-04-16 14:06 . 2008-04-25 01:30 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-16 14:04 . 2008-03-04 16:49 159,112 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-04-16 14:03 . 2008-04-16 14:04 <DIR> d-------- C:\Programme\Spyware Doctor
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\PC Tools
2008-04-16 14:03 . 2008-04-16 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-04-16 14:03 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-16 14:03 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-16 14:03 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-16 14:03 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-16 01:57 . 2004-08-04 08:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-04-16 01:08 . 2008-04-16 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-15 14:22 . 2008-04-15 14:22 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-15 14:22 . 2008-04-15 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-15 04:11 . 2008-04-15 04:30 0 --a------ C:\statistics.xml
2008-04-15 04:09 . 2001-08-23 17:00 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-04-10 01:53 . 2008-04-25 01:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-10 01:53 . 2008-04-10 01:53 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 23:30 --------- d-----w C:\Programme\EyeFlex
2008-04-15 22:38 --------- d-----w C:\Programme\SlySoft
2008-04-15 01:25 --------- d-----w C:\Programme\eMule
2008-04-15 00:27 --------- d-----w C:\Programme\MySpace
2008-03-16 22:05 --------- d-----w C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\Image Zone Express
2008-03-14 14:00 --------- d-----w C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\Skype
2008-03-06 12:16 --------- d-----w C:\Programme\EasyCleaner
2005-09-21 18:46 1,840 ------w C:\Programme\SeriaWinXPProfEnglish.txt
2005-01-07 01:40 12,183 ------w C:\Programme\INSTALL.LOG
2006-12-10 14:18 56 --sh--r C:\WINDOWS\system32\04CBDC7715.sys
2006-12-10 14:18 2,098 --sh--w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-25_ 0.25.29.43 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-24 22:28:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-25 00:27:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-24 23:19:06 71,660 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-04-25 00:32:32 71,660 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-24 23:19:07 22,178 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-25 00:32:33 22,178 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-24 23:19:07 409,404 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-04-25 00:32:33 409,404 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-24 23:19:07 89,730 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-25 00:32:33 89,730 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"WebCamRT.exe"="" []
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-02-01 21:32 8699904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 10:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-12-10 02:36 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"H2OWIBU"="C:\Programme\WIBUKEY\H2O\CXWibu.exe" [2005-10-01 00:00 350208]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-14 10:00 267064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 23:10 229416]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 11:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-02-01 21:32 8699904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll 2003-12-16 16:49 110592 C:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.DVSD"= RALCodec.dll
"VIDC.JPGL"= jpgl.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
-r------- 2003-07-25 04:22 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--------- 2005-01-02 19:36 452608 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--------- 2001-09-04 09:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--------- 2004-02-03 20:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--------- 2007-09-14 10:00 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KTPWare]
--------- 2003-11-27 18:32 258048 C:\Programme\Elantech\ktp3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--------- 2007-06-29 06:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchKey]
--------- 2003-11-12 13:53 36864 C:\Programme\MSI\SearchKey\StartKBHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PhnxVCDService"=3 (0x3)
"iPodService"=3 (0x3)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"=

R0 FantomDVDBus;FantomDVD Bus Driver;C:\WINDOWS\system32\DRIVERS\FantomDVDBus.sys [2005-05-27 15:07]
R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2003-10-20 18:09]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-04 16:49]
R2 portD;CMS PortIO Service;C:\WINDOWS\system32\DRIVERS\portd2k.sys [2005-11-14 14:59]
R3 cxwibu;Team H2O WIBU Driver;C:\Programme\WIBUKEY\H2O\cxwibu.sys [2005-10-01 00:00]
R3 Ktp3;Elantech TouchPad(KTP3);C:\WINDOWS\system32\DRIVERS\Ktp3.sys [2004-03-03 16:20]
R3 MA763010;M-Audio Fast Track;C:\WINDOWS\system32\drivers\MA763010.sys [2004-08-31 15:57]
R3 PhnxVcd;PhnxVcd;C:\WINDOWS\system32\Drivers\PhnxVcd.sys [2004-01-05 19:39]
S0 FantomDVDPort;FantomDVD Scsi Miniport Driver;C:\WINDOWS\system32\Drivers\FantomDVDPort.sys []
S1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
S3 QCPro;Logitech QuickCam Pro USB(PID_D001);C:\WINDOWS\system32\DRIVERS\p35u.sys [2001-09-24 09:42]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 01:28:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\M-Audio Fast Track\GBInst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\CMS Products\BounceBack Express\BBLauncher.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-25 1:37:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-25 00:37:36
ComboFix2.txt 2008-04-24 23:29:02

18 Verzeichnis(se), 19,417,083,904 Bytes frei
20 Verzeichnis(se), 19,417,812,992 Bytes frei

196 --- E O F --- 2008-04-09 11:00:07


Ice Sword:

Process:

System Idle Process
System
C:\Programme\M-Audio Fast Track\GBInst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Programme\WIBUKEY\H2O\CXWibu.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\smss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\DOKUME~1\MEDIAM~1\LOKALE~1\temp\Rar$EX04.484\IceSword122en\IceSword.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CMS Products\BounceBack Express\BBLauncher.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\alg.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\MySpace\IM\MySpaceIM.exe

Services:

Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:AudioSrv Display Name:Windows Audio
Service Name:Browser Display Name:Computerbrowser
Service Name:CryptSvc Display Name:Kryptografiedienste
Service Name:DcomLaunch Display Name:DCOM-Server-Prozessstart
Service Name:Dhcp Display Name:DHCP-Client
Service Name:Dnscache Display Name:DNS-Client
Service Name:ERSvc Display Name:Error Reporting Service
Service Name:Eventlog Display Name:Ereignisprotokoll
Service Name:EventSystem Display Name:COM+-Ereignissystem
Service Name:FastTrackInstallerService Display Name:Fast Track Installer
Service Name:FastUserSwitchingCompatibility Display Name:Kompatibilität für schnelle Benutzerumschaltung
Service Name:helpsvc Display Name:Hilfe und Support
Service Name:iPod Service Display Name:iPod-Dienst
Service Name:lanmanserver Display Name:Server
Service Name:lanmanworkstation Display Name:Arbeitsstationsdienst
Service Name:LmHosts Display Name:TCP/IP-NetBIOS-Hilfsprogramm
Service Name:Netman Display Name:Netzwerkverbindungen
Service Name:Nla Display Name:NLA (Network Location Awareness)
Service Name:PlugPlay Display Name:Plug & Play
Service Name:Pml Driver HPZ12 Display Name:Pml Driver HPZ12
Service Name:PolicyAgent Display Name:IPSEC-Dienste
Service Name:ProtectedStorage Display Name:Geschützter Speicher
Service Name:RasMan Display Name:RAS-Verbindungsverwaltung
Service Name:RegSrvc Display Name:RegSrvc
Service Name:RpcSs Display Name:Remoteprozeduraufruf (RPC)
Service Name:S24EventMonitor Display Name:Spectrum24 Event Monitor
Service Name:SamSs Display Name:Sicherheitskontenverwaltung
Service Name:Schedule Display Name:Taskplaner
Service Name:seclogon Display Name:Sekundäre Anmeldung
Service Name:SENS Display Name:Systemereignisbenachrichtigung
Service Name:SharedAccess Display Name:Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Service Name:ShellHWDetection Display Name:Shellhardwareerkennung
Service Name:Spooler Display Name:Druckwarteschlange
Service Name:srservice Display Name:Systemwiederherstellungsdienst
Service Name:SSDPSRV Display Name:SSDP-Suchdienst
Service Name:stisvc Display Name:Windows-Bilderfassung (WIA)
Service Name:TapiSrv Display Name:Telefonie
Service Name:TermService Display Name:Terminaldienste
Service Name:Themes Display Name:Designs
Service Name:TrkWks Display Name:Überwachung verteilter Verknüpfungen (Client)
Service Name:W32Time Display Name:Windows-Zeitgeber
Service Name:WebClient Display Name:WebClient
Service Name:winmgmt Display Name:Windows-Verwaltungsinstrumentation
Service Name:wscsvc Display Name:Sicherheitscenter
Service Name:wuauserv Display Name:Automatische Updates

Startup:

Startup:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMan
SOUNDMAN.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PRONoMgr.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NeroFilterCheck
C:\WINDOWS\system32\NeroCheck.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HP Software Update
C:\Programme\HP\HP Software Update\HPWuSchd2.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
H2OWIBU
C:\Programme\WIBUKEY\H2O\CXWibu.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
QuickTime Task
"C:\Programme\QuickTime\qttask.exe" -atboottime

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
iTunesHelper
"C:\Programme\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avgnt
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ISTray
"C:\Programme\Spyware Doctor\pctsTray.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
C:\WINDOWS\system32\ctfmon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WebCamRT.exe


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MySpaceIM
C:\Programme\MySpace\IM\MySpaceIM.exe

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader Speed Launch.lnk
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Remark£º)

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BounceBack-Starter.lnk
C:\Programme\CMS Products\BounceBack Express\BBLauncher.exe (Remark£º)

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
desktop.ini


C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Remark£º)

C:\Dokumente und Einstellungen\Media Markt HD\Startmenü\Programme\Autostart
desktop.ini


t didn't spit out a message hooks log when I pressed the button?
  • 0

#9
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Buddy I'm gonna have to pick up the rest tomorrow. I've been on my feet doing a shoot since 5 and now it's 2:20 am. Thank you so much fir your help! Till tomorrow,

Chris
  • 0

#10
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
Hello Chris

These steps don't produce logs, you need to write it down yourself

Step 4 : Click the SSDT tab and check for red colored entries. If there are any, write down the KModule name.


Step 5 : Click the Message Hooks tab and check for any entries that are underneath Type and labelled WH_KEYBOARD. Write down the Process Path of these entries if present.


Need to see those


Also do this


Please do an online scan with Kaspersky WebScanner

Click on Kaspersky Online Scanner and click Accept

You will be prompted to install an ActiveX component from Kaspersky, Click Yes.
  • The program will launch and then begin downloading the latest definition files:
  • Once the files have been downloaded click on NEXT
  • Now click on Scan Settings
  • In the scan settings make that the following are selected:
    • Scan using the following Anti-Virus database:
    Extended (if available otherwise Standard)
    • Scan Options:
    Scan Archives
    Scan Mail Bases
  • Click OK
  • Now under select a target to scan:Select My Computer
  • This will program will start and scan your system.
  • The scan will take a while so be patient and let it run.
  • Once the scan is complete it will display if your system has been infected.
    • Now click on the Save as Text button:
  • Save the file to your desktop.
  • Copy and paste that information in your next post.

  • 0

Advertisements


#11
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Hi Rorschach!

Yet again sorry for the late reply been working 14 hour shifts...

Thanks for the above, now I've understood you.

The IceSword SSD tabs red entries:

d347bus.sys
\System Root\system 32\drivers\iksysflt.sys

(They were listed a few times each.)

The message hooks WH_Keyboard thingies (some of them were listed more than once):

c:\Windows\explorer.exe
c:\Programme\Internet Explorer\ieexplorer.exe
c:\Programme\MySpace\IM\MySpaceIM.exe
c:\Windows\Sytem32\ctfmon.exe
c:\Programme\CMS Products\BounceBack Express.exe
c:\Programme\iTunes\iTunesHelper.exe
c:\Programme\HP\DigitalImaging\bin\hptra08.exe
c:\Programme\Spyware Doctor\pctsTray.exe
c:\Windows\system32\notepad.exe
c:\Programme\HP\HP Software Update\hpwuSchd2.exe

Kapersky is running right now (and hopefully won't take 16 hours this time. I'll post the log in about 30 mins I'm guessing.
  • 0

#12
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
Sorry I forgot you ran Kaspersky already

You can leave it and do this instead


Click here to use the F-Secure Online Scanner
  • Then click the Start Scanning button below.
  • You should get a notification (bar on top) to install the activeX. Click on it and select to install the ActiveX.
  • Once the ActiveX is installed, you should accept the License terms by clicking OK below to start the scan.
  • In case you are having problems with installing the ActiveX/starting the scan, please read here.
  • Click the Full System Scan button.
  • It will start to download scanner components and databases. This can take a while.
  • The main scan will start.
  • Once the scan finished scanning, click the Automatic cleaning (recommended) button
  • It could be possible that your firewall gives an alert - allow it, because that's a connection you establish to submit infected files to F-Secure.
  • The cleaning can take a while, so please be patient.
  • Then click the Show report button and copy and paste what's present under results in your next reply.

  • 0

#13
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Hey there buddy!

Only just saw your message. Kaspersky finished so I might as well post the log. It's still saying 8 bugs which is a little disconcerting but we'll see.

I'm running the other scanner now while I go to work. Will be back around 10:30 pm and send you the log then. Out of curitosity because I'm flying to Germany for a week tmrw. How far along do you think we are? Didn't really want to bring my laptop but also don't wanna keep you waiting for a week.

Thanks!

Chris

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Sunday, April 27, 2008 4:11:33 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.1
Kaspersky Anti-Virus database last update: 27/04/2008
Kaspersky Anti-Virus database records: 727494
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
G:\

Scan Statistics:
Total number of scanned objects: 101610
Number of viruses found: 8
Number of infected objects: 189
Number of suspicious objects: 0
Duration of the scan process: 01:27:18

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Anwendungsdaten\MySpace\IM\Logs\MySpaceIM-20080425-012936.log Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\temp\hpodvd09.log Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\temp\~DF3EBA.tmp Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008042520080426\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008042720080428\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\ntuser.dat Object is locked skipped
C:\Dokumente und Einstellungen\Media Markt HD\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\1.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\100174.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\101886.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\102377.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\103919.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\104009.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\1115894.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\114594.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\118350.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\120104030.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\120543.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\121234.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\127373.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\130387.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\133431.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\134679428.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\137377.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\139881.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\140702.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\143616.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\145569.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\14641823.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\14817085.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\14822042.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\149227688.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\15069088.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\15086713.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\15088446.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\152499.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\158197.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\158267.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\159449.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\162733.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\16296262.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\16321539.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\163892895.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\178514670.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\183153.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\193067896.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\207207.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\207585732.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\222186577.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\236677924.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\265755416.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\29342622.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\29353598.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\29593553.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\29604208.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\29606401.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\30289574.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\309660608.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\31352953.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\333129.exe.vir Infected: Email-Worm.Win32.Bagle.vr skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\338698152.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\353395876.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\397190629.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\47430882.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\47438522.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\61952492.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\76440725.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\76445873.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\86965.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\88847.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\90961585.exe.vir Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\99112.exe.vir Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip/srosa.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip/wintems.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip/mdelk.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip/hldrrr.exe Infected: Trojan-Downloader.Win32.Bagle.ni skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip/mdelk.exe.1 Infected: Trojan-Downloader.Win32.Bagle.ni skipped
C:\QooBox\Quarantine\catchme2008-04-24_232415,54.zip ZIP: infected - 5 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0296378.exe Infected: Trojan-Downloader.Win32.Bagle.ni skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0297343.exe Infected: Trojan-Downloader.Win32.Bagle.ni skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP573\A0297351.exe Infected: Trojan-Downloader.Win32.Bagle.ni skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0298343.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0299343.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP574\A0299361.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299368.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299369.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299398.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299399.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP575\A0299400.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299532.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299533.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299534.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299535.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299536.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299549.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299570.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299572.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP576\A0299573.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300569.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300571.exe/file60 Infected: Trojan-Downloader.Win32.Delf.gcy skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300571.exe Inno: infected - 1 skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300587.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300588.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300598.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP579\A0300599.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300810.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300812.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300820.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300823.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300961.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0300962.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301822.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301826.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301827.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0301997.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0302009.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0302012.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0302013.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303008.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303010.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303011.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303036.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303049.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303062.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP580\A0303073.sys Infected: Trojan-Downloader.Win32.Bagle.mm skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303086.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303087.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303088.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303089.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303090.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303099.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303101.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303103.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303106.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303113.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303114.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303115.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303116.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303118.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303120.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303129.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303130.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303131.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303134.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303136.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303137.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303138.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303139.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303145.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303155.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303156.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303157.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303164.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303170.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303171.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303174.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303176.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303178.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303179.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303182.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303199.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303208.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303214.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303228.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303231.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303242.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303255.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303279.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303299.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303300.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303311.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303312.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303313.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303320.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303324.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303332.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303355.exe Infected: Email-Worm.Win32.Bagle.vr skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303358.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303374.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303405.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303430.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303431.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303442.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303461.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303462.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303471.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303474.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303475.exe Infected: Trojan-Downloader.Win32.Bagle.ij skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303482.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP581\A0303487.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\System Volume Information\_restore{BB0C4AC9-CE5F-4DB9-8E33-7C303A5D1835}\RP582\change.log Object is locked skipped
C:\WINDOWS\$NtUninstallKB824141$\user32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\hh.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\locator.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\osk.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\srv.sys Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\user32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\colbact.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\comuid.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\es.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\ole32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB828741$\txflog.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB839645$\shell32.dll Object is locked skipped
C:\WINDOWS\$NtUninstallKB839645$\sxs.dll Object is locked skipped
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Object is locked skipped
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Program Files\Orange\setup\OrangeSearch.EXE/data0000.cab/orange4.dll Infected: not-a-virus:AdWare.Win32.BHO.ahy skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Program Files\Orange\setup\OrangeSearch.EXE/data0000.cab Infected: not-a-virus:AdWare.Win32.BHO.ahy skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Program Files\Orange\setup\OrangeSearch.EXE Rsrc-Package: infected - 2 skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Programme\EyeFlex\VVSN_JAZM1042Inst.exe/data0001.cab/VVSN.exe Infected: not-a-virus:AdWare.Win32.SaveNow.z skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Programme\EyeFlex\VVSN_JAZM1042Inst.exe/data0001.cab Infected: not-a-virus:AdWare.Win32.SaveNow.z skipped
C:\_OTMoveIt\MovedFiles\04252008_003038\Programme\EyeFlex\VVSN_JAZM1042Inst.exe EmbeddedCAB: infected - 2 skipped

Scan process completed.
  • 0

#14
bluenote_musicman

bluenote_musicman

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Right, here is the cleaning log to F secure which seems to have taken care of one spyware programme. After combofix and Icesword my computer is running at speed again and my sound control is back, I'm just wondering whether to get rid of the infected files in restore with killbox or something similar? Hope you've had a good night in Dublin, Chris

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 69375
System: 3875
Not scanned: 76
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\$NTUNINSTALLQ828026$\MSDXM.OCX
C:\WINDOWS\$NTUNINSTALLQ828026$\WMP.DLL
C:\WINDOWS\$NTUNINSTALLKB839645$\FLDRCLNR.DLL
C:\WINDOWS\$NTUNINSTALLKB839645$\SHELL32.DLL
C:\WINDOWS\$NTUNINSTALLKB839645$\SXS.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\CALLCONT.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\GDI32.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\H323.TSP
C:\WINDOWS\$NTUNINSTALLKB835732$\H323MSP.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\IPNATHLP.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\LSASRV.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\MF3216.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\MSASN1.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\MSGINA.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\MST120.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\NMCOM.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\RTCDLL.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\SCHANNEL.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\CATSRV.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\CATSRVUT.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\CLBCATEX.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\CLBCATQ.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\COLBACT.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\COMADMIN.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\COMREPL.EXE
C:\WINDOWS\$NTUNINSTALLKB828741$\COMSVCS.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\COMUID.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\ES.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\MIGREGDB.EXE
C:\WINDOWS\$NTUNINSTALLKB828741$\MSDTCPRX.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\MSDTCTM.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\MSDTCUIU.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\MTXCLU.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\MTXOCI.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\OLE32.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\RPCRT4.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\RPCSS.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\TXFLOG.DLL
C:\WINDOWS\$NTUNINSTALLKB828035$\MSGSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB828035$\WKSSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\ACCWIZ.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\CRYPT32.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\CRYPTSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\HH.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\HHCTRL.OCX
C:\WINDOWS\$NTUNINSTALLKB826939$\HHSETUP.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\HTML32.CNV
C:\WINDOWS\$NTUNINSTALLKB826939$\LOCATOR.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\MAGNIFY.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\MIGWIZ.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\MRXSMB.SYS
C:\WINDOWS\$NTUNINSTALLKB826939$\MSCONV97.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\NARRATOR.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\NEWDEV.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\NTDLL.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\NTKRNLPA.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\NTOSKRNL.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\OSK.EXE
C:\WINDOWS\$NTUNINSTALLKB826939$\PCHSHELL.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\RASPPTP.SYS
C:\WINDOWS\$NTUNINSTALLKB826939$\SHMEDIA.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\SRRSTR.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\SRV.SYS
C:\WINDOWS\$NTUNINSTALLKB826939$\USER32.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\WIN32K.SYS
C:\WINDOWS\$NTUNINSTALLKB826939$\WINSRV.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\ZIPFLDR.DLL
C:\WINDOWS\$NTUNINSTALLKB824141$\USER32.DLL
C:\WINDOWS\$NTUNINSTALLKB824141$\WIN32K.SYS

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Blacklight: 1.0.64
F-Secure Hydra: 2.8.8110, 2008-04-26
F-Secure Pegasus: 1.20.0, 2008-02-28
F-Secure AVP: 7.0.171, 2008-04-26
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics
  • 0

#15
Rorschach112

Rorschach112

    Ralphie

  • Retired Staff
  • 47,710 posts
We will remove those at the end, don't fix those yourself

I just want to do one more scan so I can be 200% sure you are clean :) Should be our last one



1. Close any open browsers.

2. Open notepad and copy/paste the text in the quotebox below into it:

Sysrst::

File::

Folder::

Registry::

Driver::


Save this as CFScript.txt, in the same location as ComboFix.exe


Posted Image

Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at "C:\ComboFix.txt"

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall




Also tell me if your PC is having any problems
  • 0






Similar Topics

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

As Featured On:

Microsoft Yahoo BBC MSN PC Magazine Washington Post HP