PSGuard... Intell32.exe lässt sich nicht töten... Warning your Computer...

Home » Spyware & Browser Hijacker Support Forum » PSGuard... Intell32.exe lässt sich nicht töten... Warning your Computer... » Themenansicht

Seite(n): Erste Seite 4 5 6 7 8

Antworten

PSGuard... Intell32.exe lässt sich nicht töten... Warning your Computer... Thema ist geschlossen!
Thema ist geschlossen!
23.08.2005, 13:04 IM zu Gast	#91 Soweit bin ich gekommen: Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD --------- ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard Deleting ShudderLTD --------- Checking if HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD is still present ------ Deleting leftovers in registry ------ leftovers deleted

23.08.2005, 15:02 Sabina Ehrenmitglied Beiträge: 29434	#92 hast du alles abkopiert ??????? Bitte alles abkopieren Zitat Checking if HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD is still present ------ Deleting leftovers in registry ------ leftovers deleted , dann: ------------------------------------------------ *reg-Datei Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ------------------------------------------------ ewido (scanne + poste das log vom SCan) http://virus-protect.org/ewido.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit

23.08.2005, 15:57 IM zu Gast	#93 Hallo @Sabine, Hab ich alles gemacht und den Scan Report dir per Mail zukommen lassen. Jetzt hab ich den Rechner neu hochgefahren und das Warning ! spywire ist weg, aber es tun sich andere probleme auf. Beim Neustart erscheint 1. das Fenster: Backweb-8876480.exe - DLL nicht gefunden 2. das Fenster: HP TrayIcon Bad Namespace 3. das Fenster: Runner Error Could not load the target dII ("C:\Programme\Desktop Messenger\8876480\6.1.4.8-8876480L\Program\backweb.dII", error code 126) Diese Fenster kann ich aber alle schließen ohne das was passiert. Nur kann ich Internet explorer nicht mehr öffnen ohne das sich das Fenster öffnet: ieexplore hat Fehler verursacht und wird geschlossen. Starten Sie das Programm neu. Damit geht quasi gar nichts mehr Internettechnisch. LG Issam PS: Bin fast am heulen, so verzweifelt bin ich.

23.08.2005, 23:53 Sabina Ehrenmitglied Beiträge: 29434	#94 Zitat Hallo Sabina hier mein Scan Report, scheint alles wieder zu laufen. --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 13:39:00, 23.08.2005 + Report-Checksumme: 555B36C3 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{28F00B04-DC4E-11d3-ABEC-005004A44EEB} -> Spyware.HiWire : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{28F00B20-DC4E-11d3-ABEC-005004A44EEB} -> Spyware.HiWire : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{28F00B21-DC4E-11d3-ABEC-005004A44EEB} -> Spyware.HiWire : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup C:\WINNT\system32\intell32.exe -> Trojan.Small.ev : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@bfast[2].txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@overture[1].txt -> Spyware.Cookie.Overture : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@valueclick[1].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@hitbox[2].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@ehg-hpsas.hitbox[2].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@ehg-hpgmbh.hitbox[2].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@ehg-hpeuro.hitbox[2].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@adserver.71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\KF\Cookies\kf@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@doubleclick[3].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@valueclick[1].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@adtech[1].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@hitbox[1].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@smm.valueclick[1].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@bfast[1].txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@112.2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@ivwbox[3].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@ehg-kodak.hitbox[2].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@atdmt[2].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@findwhat[1].txt -> Spyware.Cookie.Findwhat : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@hitbox[3].txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\if\Cookies\if@hotlog[2].txt -> Spyware.Cookie.Hotlog : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wjmysmazseo.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wjl4sgajmdq.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wfkiglcpgep.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wjk4akdpieq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wflokhdjolq.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@e-2dj6wjmiahdjcao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\mdz\Cookies\mdz@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Recycled\Dc4\backup-20050823-110852-799.dll -> Trojan.Puper.g : Gesäubert mit Backup C:\Recycled\Dc4\backup-20050823-111312-267.dll -> Trojan.Puper.g : Gesäubert mit Backup C:\Recycled\Dc4\backup-20050823-111418-717.dll -> Trojan.Puper.g : Gesäubert mit Backup C:\Recycled\Dc4\backup-20050823-111720-493.dll -> Trojan.Puper.g : Gesäubert mit Backup C:\Recycled\Dc4\backup-20050823-112133-591.dll -> Trojan.Puper.g : Gesäubert mit Backup __________ MfG Sabina rund um die PC-Sicherheit

23.08.2005, 23:56 Sabina Ehrenmitglied Beiträge: 29434	#95 Zitat kam von Norton Antivir die Meldung: Bösartiges Skript entdeckt. Habe im Protokoll nachgeschaut, Quelle: BackWeb-8876480.exe Mit Hilfe von Google habe ich festgestellt, dass BackWeb….. von der kabellosen Logitech Maus kommt und ähnlich einem Dialer aufgebaut sein soll. Da ich die Logitech MX 700 installiert habe, ist dies bei meinem System sicher zutreffend. Detail of Logitech Desktop Messenger ( BackWeb-8876480.exe ) C:\Programme\Desktop Messenger\8876480\6.1.4.8-8876480L\Program\backweb.dII", error code 126) ---> deinstalliere die Maus ( Logitech Desktop Messenger) und installiere sie neu __________ MfG Sabina rund um die PC-Sicherheit

12.09.2005, 20:25 benh ...neu hier Beiträge: 3	#96 Hallo, ich bin leider nicht auserordentlich bewandert in solchen Dinge und würde deshalb auf Hilfe hoffen bei dem Problem, welches bereits in der Überschrift angesprochen wird. Ich werde die Datei intell32 nicht los und mein Hintergrund enthält einen Warnhinweis. Mein Logfile ist: Logfile of HijackThis v1.99.1 Scan saved at 20:10:15, on 12.09.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\MSMSGS.EXE C:\WINDOWS\SYSTEM\MSOLE32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTELL32.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ANTIVIRUS\WIN95\CLAW95.EXE C:\WARN0190.EXE C:\WINDOWS\SYSTEM\INTELL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.odem.org:7007 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Cat's Claw] C:\PROGRA~1\ANTIVI~1\WIN95\Claw95.exe O4 - HKLM\..\Run: [0190 Warner] C:\WARN0190.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html O15 - Trusted Zone: http://webmail.gawab.com O15 - Trusted Zone: http://www.wikipedia.de O15 - Trusted Zone: http://www.chip.de O15 - Trusted Zone: http://board.protecus.de O15 - Trusted Zone: http://www.sensjs.berlin.de O15 - Trusted Zone: http://www.senbjs.berlin.de O15 - Trusted Zone: http://srv2.onlineglueck.de O15 - Trusted Zone: http://en.wikipedia.org O15 - Trusted Zone: http://de.wikipedia.org O15 - Trusted Zone: http://www2.service.t-online.de O15 - Trusted Zone: http://service.t-online.de O15 - Trusted Zone: http://www.t-online.de O15 - Trusted Zone: http://www.duden.de O15 - Trusted Zone: http://www.schuelerlexikon.de O15 - Trusted Zone: http://www.jfks.de O15 - Trusted Zone: http://www.bvg.de O15 - Trusted Zone: http://www.amazon.de O15 - Trusted Zone: http://de.wikibooks.org O15 - Trusted Zone: http://en.wikibooks.org O15 - Trusted Zone: http://www.fahrinfo-berlin.de O15 - Trusted Zone: http://www.gamezworld.de O15 - Trusted Zone: http://www.jippii.de O15 - Trusted Zone: http://www.magic-kinder.com O15 - Trusted Zone: http://www.macromedia.com O15 - Trusted Zone: http://www.spainun.org O15 - Trusted Zone: http://www.adamgreen.net O15 - Trusted Zone: http://www.kimyadawson.com O15 - Trusted Zone: http://www.i-am-bored.com O15 - Trusted Zone: http://www.myspace.com O15 - Trusted Zone: http://www.cnn.com O15 - Trusted Zone: http://edition.cnn.com O15 - Trusted Zone: http://www.badgerbadgerbadger.com O15 - Trusted Zone: http://www.tuxs.org O15 - Trusted Zone: http://web.media.mit.edu O15 - Trusted Zone: http://hitchhikers.movies.go.com O15 - Trusted Zone: http://www.un.org O15 - Trusted Zone: http://odsddsny.un.org O15 - Trusted Zone: http://www.lisum.de O15 - Trusted Zone: http://www.uniraq.org O15 - Trusted Zone: http://www.ps.cgs.at O15 - Trusted Zone: http://www.hu-berlin.de O15 - Trusted Zone: http://www.makromarkt.de O15 - Trusted Zone: http://www.ciao.de O15 - Trusted Zone: http://www.deutschepost.de O15 - Trusted Zone: http://evisaforms.state.gov O15 - Trusted Zone: http://www.jettheband.com O15 - Trusted Zone: http://www.google.de O15 - Trusted Zone: http://www.timeticker.com O15 - Trusted Zone: http://www.jfks-news.de.vu O15 - Trusted Zone: http://www.xanga.com Ich würde mich über jede Hilfe freuen. Killerbox habe ich bereits ausprobiert, führt aber zu nichts. Guten Abend, Ben

12.09.2005, 23:37 Sabina Ehrenmitglied Beiträge: 29434	#97 Hallo@benh CCleaner--> loesche alle temp-Datein--> hake alles an http://virus-protect.org/temp.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten* O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe O15 - Trusted Zone: http://webmail.gawab.com O15 - Trusted Zone: http://www.wikipedia.de O15 - Trusted Zone: http://www.chip.de O15 - Trusted Zone: http://board.protecus.de O15 - Trusted Zone: http://www.sensjs.berlin.de O15 - Trusted Zone: http://www.senbjs.berlin.de O15 - Trusted Zone: http://srv2.onlineglueck.de O15 - Trusted Zone: http://en.wikipedia.org O15 - Trusted Zone: http://de.wikipedia.org O15 - Trusted Zone: http://www2.service.t-online.de O15 - Trusted Zone: http://service.t-online.de O15 - Trusted Zone: http://www.t-online.de O15 - Trusted Zone: http://www.duden.de O15 - Trusted Zone: http://www.schuelerlexikon.de O15 - Trusted Zone: http://www.jfks.de O15 - Trusted Zone: http://www.bvg.de O15 - Trusted Zone: http://www.amazon.de O15 - Trusted Zone: http://de.wikibooks.org O15 - Trusted Zone: http://en.wikibooks.org O15 - Trusted Zone: http://www.fahrinfo-berlin.de O15 - Trusted Zone: http://www.gamezworld.de O15 - Trusted Zone: http://www.jippii.de O15 - Trusted Zone: http://www.magic-kinder.com O15 - Trusted Zone: http://www.macromedia.com O15 - Trusted Zone: http://www.spainun.org O15 - Trusted Zone: http://www.adamgreen.net O15 - Trusted Zone: http://www.kimyadawson.com O15 - Trusted Zone: http://www.i-am-bored.com O15 - Trusted Zone: http://www.myspace.com O15 - Trusted Zone: http://www.cnn.com O15 - Trusted Zone: http://edition.cnn.com O15 - Trusted Zone: http://www.badgerbadgerbadger.com O15 - Trusted Zone: http://www.tuxs.org O15 - Trusted Zone: http://web.media.mit.edu O15 - Trusted Zone: http://hitchhikers.movies.go.com O15 - Trusted Zone: http://www.un.org O15 - Trusted Zone: http://odsddsny.un.org O15 - Trusted Zone: http://www.lisum.de O15 - Trusted Zone: http://www.uniraq.org O15 - Trusted Zone: http://www.ps.cgs.at O15 - Trusted Zone: http://www.hu-berlin.de O15 - Trusted Zone: http://www.makromarkt.de O15 - Trusted Zone: http://www.ciao.de O15 - Trusted Zone: http://www.deutschepost.de O15 - Trusted Zone: http://evisaforms.state.gov O15 - Trusted Zone: http://www.jettheband.com O15 - Trusted Zone: http://www.google.de O15 - Trusted Zone: http://www.timeticker.com O15 - Trusted Zone: http://www.jfks-news.de.vu O15 - Trusted Zone: http://www.xanga.com PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM\MSOLE32.EXE C:\WINDOWS\SYSTEM\INTELL32.EXE C:\WINDOWS\SYSTEM\msmsgs.exe PC neustarten poste bitte alle 4 Logs+ Pfadangabe http://virus-protect.org/datfindbat.html smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread scanne mit ewido und poste mir den Scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit

13.09.2005, 22:20 benh ...neu hier Beiträge: 3	#98 Hallo, vielen, vielen Dank ersteinmal. Habe ein wenig rumgemurkst und bin jetzt soweit, dass ich beim Neustarten des Computers keine Probleme mehr habe (also keinen geänderten Hintergrund und auch intell32 lädt sich nicht mehr). Allerdings beginnt das Problem vom neuen, wenn ich mich ins Internet einwähle. SmitRem hat auch gesagt, dass die Datei "wininet.dll" infected is. Denke mal, dass das damit zusammen hängt. Jetzt folgen meine Daten, leider nur ein (unfreiwilliges) zweites Log von SmitRem. Was kann ich noch tun? HijackThis Logfile of HijackThis v1.99.1 Scan saved at 18:14:42, on 13.09.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ANTIVIRUS\WIN95\CLAW95.EXE C:\WARN0190.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.odem.org:7007 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Cat's Claw] C:\PROGRA~1\ANTIVI~1\WIN95\Claw95.exe O4 - HKLM\..\Run: [0190 Warner] C:\WARN0190.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O15 - Trusted Zone: http://www.jfks-news.de.vu datfind Datentr„ger in Laufwerk C: 71_01_40 Seriennummer des Datentr„gers: 125D-14D3 Verzeichnis von C:\WINDOWS\SYSTEM32 3.063,43 MB frei Datentr„ger in Laufwerk C: 71_01_40 Seriennummer des Datentr„gers: 125D-14D3 Verzeichnis von C:\WINDOWS\TEMP ~WRF0000 TMP 1.536 13.09.05 18:15 ~WRF0000.tmp ~DF5DF TMP 0 13.09.05 18:15 ~DF5DF.TMP ~DFF47B TMP 0 13.09.05 18:14 ~DFF47B.TMP KB LOG 50 13.09.05 18:12 kb.log 4 Datei(en) 1.586 Bytes 0 Verzeichnis(se) 3.059,43 MB frei Datentr„ger in Laufwerk C: 71_01_40 Seriennummer des Datentr„gers: 125D-14D3 Verzeichnis von C:\WINDOWS USER DAT 1.921.056 13.09.05 18:16 USER.DAT WIN386 SWP 75.497.472 13.09.05 18:16 WIN386.SWP SYSTEM DAT 2.297.888 13.09.05 18:15 SYSTEM.DAT WAVEMIX INI 54 13.09.05 18:14 WAVEMIX.INI POWERPNT INI 60 13.09.05 18:14 POWERPNT.INI SYSTEM INI 2.351 13.09.05 18:14 system.ini WIASERVC LOG 50 13.09.05 18:14 wiaservc.log SCHEDLOG TXT 32.677 13.09.05 18:14 SchedLog.Txt NDISLOG TXT 0 13.09.05 18:13 NDISLOG.TXT WININIT LOG 233 13.09.05 18:13 WININIT.LOG SSDPCA~1 TXT 0 13.09.05 18:13 ssdpcache.txt WININIT BAK 163 13.09.05 18:12 WININIT.BAK CLASSES DAT 5.185.568 13.09.05 18:11 CLASSES.DAT COMMAND PIF 967 12.09.05 23:45 command.PIF BENJAMIN PWL 796 12.09.05 23:22 BENJAMIN.PWL SHELLI~1 1.372.132 12.09.05 0:46 ShellIconCache COMPUT~1 URL 123 12.09.05 0:42 Computer Security.url SPAMFI~1 URL 116 12.09.05 0:42 Spam Filters.url WIN INI 9.758 12.09.05 0:30 win.ini PLUS! BMP 481.141 12.09.05 0:30 Plus!.bmp TTFCACHE 34.971 11.09.05 23:26 ttfCache QTFONT QFN 54.156 10.09.05 1:40 QTFont.qfn ULEAD32 INI 696 08.09.05 17:55 Ulead32.ini VMMHIBER W9X 66.904.064 06.09.05 20:30 VMMHIBER.W9X RESUME TXT 24 06.09.05 20:30 RESUME.TXT STA2 INI 663 16.08.05 1:21 Sta2.INI WSB2005 INI 1.899 07.07.05 1:35 wsb2005.ini WININI~1 OLD 383 03.07.05 13:58 wininitlog.old QTFONT FOR 1.308 01.07.05 1:51 QTFont.for RTCW INI 628 30.06.05 22:47 Rtcw.INI START INI 57 05.06.05 15:03 START.INI WINMINE INI 178 19.05.05 0:07 winmine.ini XTCACHE DRV 32 19.03.05 12:12 xtcache.drv SOL INI 35 13.02.05 14:57 SOL.INI ALPHAP~1 INI 29 21.01.05 22:37 ALPHAPLAYER.INI MODEMCPL TXT 12.897 22.12.04 22:43 ModemCpl.txt WMSYSPRX PRX 288.880 28.11.04 22:39 WMSysPrx.prx STI_TR~1 LOG 1.428 23.10.04 2:37 Sti_Trace.log WININIT ERR 352 17.08.04 13:04 WININIT.ERR HOSTS 16 10.08.04 12:19 hosts HOSTS SAM 734 10.08.04 11:42 HOSTS.SAM SIGVERIF TXT 22.904 02.08.04 14:41 SIGVERIF.TXT WINFILE INI 94 22.07.04 0:51 WINFILE.INI HWINFO DAT 352.288 22.07.04 0:50 HWINFO.DAT PCCONFIG DAT 239 20.07.04 3:25 pcconfig.dat SCRAMD~1 INI 116 19.07.04 16:11 Scramdisk.ini DIALER INI 490 19.07.04 15:23 dialer.ini QIII INI 551 18.07.04 15:34 QIII.INI UNINST~1 EXE 110.705 17.07.04 22:53 UninstallThunderbird.exe MOZVER DAT 3.737 17.07.04 22:53 mozver.dat HPFSCHED INI 430 05.05.04 22:57 hpfsched.ini DXTF281 TMP 0 29.03.04 18:47 DXTF281.TMP DXTF282 TMP 0 29.03.04 18:47 DXTF282.TMP ST6UNST EXE 74.752 13.03.04 18:47 ST6UNST.EXE SHAREMEM INI 22 14.02.04 1:46 SHAREMEM.INI EUDORA LNK 399 31.01.04 0:29 Eudora.lnk HPDSKJTB P1B 8.699 29.01.04 22:14 HPDSKJTB.P1B WINFROTZ INI 130 27.01.04 0:05 WINFROTZ.INI WINSOC~1 SYS 8 21.01.04 23:00 WINSOCKII.SYS WINVOK INI 313 20.01.04 23:40 winvok.ini OPPRIN~1 INI 0 11.01.04 19:20 OPPRINTSERVER.INI EREG DAT 1.094 13.08.03 15:28 eReg.dat CDPLAYER INI 258 28.07.03 0:17 cdplayer.ini README TXT 275 21.07.03 14:40 Readme.txt CONTROL INI 1.098 11.04.03 23:22 CONTROL.INI SUSFAIL TXT 107 23.02.03 23:27 SUSFAIL.TXT MSBATCH INF 5.847 20.01.03 16:18 MSBATCH.INF RUN32A50 MCH 14.167 12.01.03 10:59 Run32A50.mch A5W INI 35 12.01.03 10:59 A5W.INI VPETTING INI 89 07.01.03 21:21 vpetting.ini TTN INI 0 17.12.02 18:35 TTN.INI ADOBEREG DB 134 12.12.02 14:09 Adobereg.db TIKH3K~1 DAT 74.460 14.08.02 22:37 TIKH3K1DF.DAT CPK1HSDF DAT 74.460 14.08.02 22:27 CPK1HSDF.DAT EFXP INI 971 02.08.02 0:53 EFXP.ini CLONY2 INI 45 04.04.02 13:57 Clony2.ini CLONYCDS INI 24 04.04.02 13:56 ClonyCDs.ini CLONYD~1 INI 86 04.04.02 13:55 ClonyDrives.ini UNINSTBB EXE 65.536 03.03.02 11:12 uninstbb.exe ACTIVE~1 INI 112 18.01.02 18:12 ActiveSkin.INI IROTVIEW INI 0 25.11.01 2:14 IROTVIEW.INI SCREEN~1 BMP 960.054 09.11.01 14:56 ScreenThemes.bmp STSAVER INI 0 06.11.01 19:31 stsaver.ini WININIT SAV 11.263 02.11.01 17:45 WININIT.SAV ODBC INI 1.572 29.09.01 21:26 ODBC.INI ODBCINST INI 3.578 29.09.01 1:34 ODBCINST.INI ILIB31HT DLL 278.448 22.09.01 1:40 ILIB31HT.DLL WSCRIPT EXE 118.834 26.06.01 17:53 WSCRIPT.EXE CS_SETUP INI 21 07.06.01 16:27 CS_setup.ini NEWDEM~1 INI 1.557 07.05.01 14:52 NEWDemoMedia.ini WATCH INI 0 02.03.01 15:42 WATCH.INI MAXLINK INI 116 02.03.01 13:41 maxlink.ini TB96 INI 81 02.03.01 13:41 TB96.INI ERO2000 INI 0 01.03.01 12:27 ERO2000.INI FPXPRESS INI 68 17.02.01 16:42 FPXPRESS.INI TOEM ISU 12.365 17.02.01 16:39 TOEM.ISU TOSO30 ISU 150.857 17.02.01 16:38 TOSO30.ISU TONLINST INI 2.133 17.02.01 16:38 tonlinst.ini SIERRA INI 282 17.12.00 12:15 SIERRA.INI SPYXX INI 0 11.12.00 20:18 SPYXX.INI POSER INI 319 10.12.00 16:42 Poser.ini MICKEY32 DLL 30.208 08.12.00 21:40 MICKEY32.DLL INSTALL1 EXE 612.980 08.12.00 21:40 Install1.exe INSTALL1 SCR 186.448 08.12.00 21:40 Install1.scr EF INI 1.058 24.11.00 13:06 EF.ini TMPDELIS BAT 122 14.11.00 16:43 tmpdelis.bat TMPCPYIS BAT 189 14.11.00 16:43 tmpcpyis.bat DCBC2A~1 INI 3.584 14.11.00 16:31 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini UNENG EXE 36.864 13.11.00 19:00 uneng.exe NVC95 INI 0 13.11.00 17:14 NVC95.INI WINSTART BAT 26 13.11.00 16:54 winstart.bat FPCITEST INI 0 10.11.00 18:27 FPCITEST.INI SYSTEM CB 116 10.11.00 17:29 SYSTEM.CB SVERSION INI 47 13.10.00 13:38 sversion.ini ODBCDDP INI 44 13.10.00 13:38 odbcddp.ini AOLSYS~1 LNK 394 13.10.00 13:38 aolsysinfo.lnk CFOS INI 19 13.10.00 13:38 CFOS.INI TELEPHON INI 225 12.10.00 14:58 TELEPHON.INI DESKTOP INI 271 12.10.00 14:56 desktop.ini FOLDER HTT 23.272 12.10.00 14:56 folder.htt STI_EV~1 LOG 0 12.10.00 14:55 Sti_Event.log PROGMAN INI 0 12.10.00 14:55 progman.ini QTW INI 28 12.10.00 13:22 QTW.INI MSOFFICE INI 26 12.10.00 13:22 MSOFFICE.INI SETVER EXE 19.131 12.10.00 13:22 SETVER.EXE HIDCI DLL 3.232 12.10.00 13:19 HIDCI.DLL WINSOCK DLL 21.520 12.10.00 13:19 WINSOCK.DLL PIDGEN DLL 29.376 12.10.00 13:11 PIDGEN.DLL CTJCLR EXE 9.728 17.09.00 17:52 CTJCLR.EXE ADDLFNPR REG 115 08.06.00 17:00 ADDLFNPR.REG DOSSTART BAT 1.404 08.06.00 17:00 DOSSTART.BAT MSDOS SYS 1.646 08.06.00 17:00 MSDOS.SYS HWINFO EXE 114.688 08.06.00 17:00 HWINFO.EXE SUBACK16 BIN 122.998 08.06.00 17:00 SUBACK16.BIN WIN1024 BIN 18.720 08.06.00 17:00 WIN1024.BIN WIN640 BIN 7.788 08.06.00 17:00 WIN640.BIN WIN800 BIN 11.664 08.06.00 17:00 WIN800.BIN LICENSE TXT 27.066 08.06.00 17:00 LICENSE.TXT SUPPORT TXT 954 08.06.00 17:00 SUPPORT.TXT RUNHELP CAB 6.325 08.06.00 17:00 RUNHELP.CAB JAUTOEXP DAT 6.550 08.06.00 17:00 JAUTOEXP.DAT SCRIPT DOC 38.400 08.06.00 17:00 SCRIPT.DOC CLSPACK EXE 57.344 08.06.00 17:00 CLSPACK.EXE DRWATSON EXE 143.360 08.06.00 17:00 DRWATSON.EXE EXPLORER EXE 225.280 08.06.00 17:00 EXPLORER.EXE EXTRAC32 EXE 132.608 08.06.00 17:00 EXTRAC32.EXE FONTVIEW EXE 49.152 08.06.00 17:00 FONTVIEW.EXE GRPCONV EXE 49.152 08.06.00 17:00 GRPCONV.EXE HH EXE 38.912 08.06.00 17:00 HH.EXE JVIEW EXE 180.224 08.06.00 17:00 JVIEW.EXE NETCONN EXE 136.192 08.06.00 17:00 NETCONN.EXE PIDSET EXE 40.960 08.06.00 17:00 PIDSET.EXE SETDEBUG EXE 57.344 08.06.00 17:00 SETDEBUG.EXE SIGVERIF EXE 98.304 08.06.00 17:00 SIGVERIF.EXE TUNEUP EXE 106.496 08.06.00 17:00 TUNEUP.EXE UPWIZUN EXE 57.344 08.06.00 17:00 UPWIZUN.EXE WINCOOL EXE 57.344 08.06.00 17:00 WINCOOL.EXE WJVIEW EXE 180.224 08.06.00 17:00 WJVIEW.EXE BACKGRND GIF 103.582 08.06.00 17:00 BACKGRND.GIF CLOUD GIF 11.306 08.06.00 17:00 CLOUD.GIF HLPBELL GIF 1.407 08.06.00 17:00 HLPBELL.GIF HLPCD GIF 1.492 08.06.00 17:00 HLPCD.GIF HLPGLOBE GIF 1.603 08.06.00 17:00 HLPGLOBE.GIF HLPLOGO GIF 1.185 08.06.00 17:00 HLPLOGO.GIF HLPSTEP1 GIF 1.107 08.06.00 17:00 HLPSTEP1.GIF HLPSTEP2 GIF 1.154 08.06.00 17:00 HLPSTEP2.GIF HLPSTEP3 GIF 1.249 08.06.00 17:00 HLPSTEP3.GIF WINLOGO GIF 4.963 08.06.00 17:00 WINLOGO.GIF HTMLHELP HTM 520 08.06.00 17:00 HTMLHELP.HTM README HTM 694 08.06.00 17:00 README.HTM READM_01 HTZ 578 08.06.00 17:00 READM_01.HTZ READM_02 HTZ 4.225 08.06.00 17:00 READM_02.HTZ HTMLHELP INI 3.598 08.06.00 17:00 HTMLHELP.INI MSDFMAP INI 1.405 08.06.00 17:00 MSDFMAP.INI DOSPRMPT PIF 545 08.06.00 17:00 DOSPRMPT.PIF ALLGEM TXT 26.584 08.06.00 17:00 ALLGEM.TXT ANTWORT TXT 14.304 08.06.00 17:00 ANTWORT.TXT ANZEIGE TXT 27.379 08.06.00 17:00 ANZEIGE.TXT DRUCKER TXT 28.370 08.06.00 17:00 DRUCKER.TXT HARDWARE TXT 30.303 08.06.00 17:00 HARDWARE.TXT MAUS TXT 4.257 08.06.00 17:00 MAUS.TXT NETZWERK TXT 8.441 08.06.00 17:00 NETZWERK.TXT PROGRAMM TXT 36.462 08.06.00 17:00 PROGRAMM.TXT TIPS TXT 16.670 08.06.00 17:00 TIPS.TXT NETDET INI 7.885 08.06.00 17:00 NETDET.INI SCANREGW EXE 126.976 08.06.00 17:00 SCANREGW.EXE SMARTDRV EXE 45.379 08.06.00 17:00 SMARTDRV.EXE HIMEM SYS 33.191 08.06.00 17:00 HIMEM.SYS RAMDRIVE SYS 12.823 08.06.00 17:00 RAMDRIVE.SYS NET EXE 357.750 08.06.00 17:00 NET.EXE NET MSG 117.029 08.06.00 17:00 NET.MSG NETH MSG 74.009 08.06.00 17:00 NETH.MSG NETWORKS 466 08.06.00 17:00 NETWORKS PROTOCOL 822 08.06.00 17:00 PROTOCOL SERVICES 6.032 08.06.00 17:00 SERVICES 1STBOOT BMP 1.518 08.06.00 17:00 1STBOOT.BMP KREISE BMP 190 08.06.00 17:00 Kreise.bmp WELLEN BMP 190 08.06.00 17:00 Wellen.bmp STREIFEN BMP 578 08.06.00 17:00 Streifen.bmp KACHELN BMP 578 08.06.00 17:00 Kacheln.bmp SETUP BMP 308.280 08.06.00 17:00 Setup.bmp WOLKEN BMP 307.514 08.06.00 17:00 Wolken.bmp WIN COM 18.839 08.06.00 17:00 WIN.COM INETMIB1 DLL 53.248 08.06.00 17:00 INETMIB1.DLL MORICONS DLL 84.424 08.06.00 17:00 MORICONS.DLL MSOWS407 DLL 127.032 08.06.00 17:00 MSOWS407.DLL MSOWS409 DLL 125.168 08.06.00 17:00 MSOWS409.DLL NDDEAPI DLL 14.323 08.06.00 17:00 NDDEAPI.DLL NDDENB DLL 10.992 08.06.00 17:00 NDDENB.DLL SNMPAPI DLL 32.768 08.06.00 17:00 SNMPAPI.DLL TWAIN_32 DLL 60.176 08.06.00 17:00 TWAIN_32.DLL ACCSTAT EXE 36.864 08.06.00 17:00 ACCSTAT.EXE WUAURES DLL 98.304 08.06.00 17:00 WUAURES.DLL ARP EXE 28.672 08.06.00 17:00 ARP.EXE ASD EXE 61.440 08.06.00 17:00 ASD.EXE ATMADM EXE 16.384 08.06.00 17:00 ATMADM.EXE CDPLAYER EXE 32.768 08.06.00 17:00 CDPLAYER.EXE CLEANMGR EXE 110.592 08.06.00 17:00 CLEANMGR.EXE CONTROL EXE 2.163 08.06.00 17:00 CONTROL.EXE CVTAPLOG EXE 77.824 08.06.00 17:00 CVTAPLOG.EXE DEFRAG EXE 213.139 08.06.00 17:00 DEFRAG.EXE DIRECTCC EXE 73.728 08.06.00 17:00 DIRECTCC.EXE DVDPLAY EXE 15.120 08.06.00 17:00 DVDPLAY.EXE DVDRGN EXE 57.344 08.06.00 17:00 DVDRGN.EXE EMM386 EXE 126.695 08.06.00 17:00 EMM386.EXE FTP EXE 45.056 08.06.00 17:00 FTP.EXE IPCONFIG EXE 49.152 08.06.00 17:00 IPCONFIG.EXE MM2ENT EXE 32.768 08.06.00 17:00 MM2ENT.EXE REGEDIT EXE 131.072 08.06.00 17:00 REGEDIT.EXE NBTSTAT EXE 27.920 08.06.00 17:00 NBTSTAT.EXE NETDDE EXE 56.896 08.06.00 17:00 NETDDE.EXE NETSTAT EXE 32.768 08.06.00 17:00 NETSTAT.EXE NOTEPAD EXE 57.344 08.06.00 17:00 NOTEPAD.EXE PACKAGER EXE 81.920 08.06.00 17:00 PACKAGER.EXE PING EXE 24.576 08.06.00 17:00 PING.EXE PMRES EXE 40.960 08.06.00 17:00 PMRES.EXE PMTS EXE 40.960 08.06.00 17:00 PMTS.EXE PROGMAN EXE 114.035 08.06.00 17:00 PROGMAN.EXE RG2CATDB EXE 40.960 08.06.00 17:00 RG2CATDB.EXE ROUTE EXE 27.408 08.06.00 17:00 ROUTE.EXE RUNDLL EXE 5.139 08.06.00 17:00 RUNDLL.EXE RUNDLL32 EXE 24.576 08.06.00 17:00 RUNDLL32.EXE SCANDSKW EXE 5.235 08.06.00 17:00 SCANDSKW.EXE TASKMAN EXE 49.152 08.06.00 17:00 TASKMAN.EXE TASKMON EXE 28.672 08.06.00 17:00 TASKMON.EXE TELNET EXE 78.608 08.06.00 17:00 TELNET.EXE TRACERT EXE 20.480 08.06.00 17:00 TRACERT.EXE TWUNK_32 EXE 35.088 08.06.00 17:00 TWUNK_32.EXE WINMINE EXE 24.419 08.06.00 17:00 WINMINE.EXE WINFILE EXE 157.955 08.06.00 17:00 WINFILE.EXE WINHELP EXE 2.515 08.06.00 17:00 WINHELP.EXE WINHLP32 EXE 327.680 08.06.00 17:00 WINHLP32.EXE WININIT EXE 46.633 08.06.00 17:00 WININIT.EXE WINIPCFG EXE 49.152 08.06.00 17:00 WINIPCFG.EXE WINPOPUP EXE 28.307 08.06.00 17:00 WINPOPUP.EXE WINVER EXE 3.747 08.06.00 17:00 WINVER.EXE WRITE EXE 20.480 08.06.00 17:00 WRITE.EXE WUAUBOOT EXE 114.688 08.06.00 17:00 WUAUBOOT.EXE WUAUCLT EXE 155.648 08.06.00 17:00 WUAUCLT.EXE WUPDMGR EXE 57.344 08.06.00 17:00 WUPDMGR.EXE WINUPD ICO 10.134 08.06.00 17:00 WINUPD.ICO IOS INI 12.484 08.06.00 17:00 IOS.INI SCANREG INI 787 08.06.00 17:00 SCANREG.INI WMPRFDEU PRX 33.400 08.06.00 17:00 WMPRFDEU.PRX LMHOSTS SAM 3.717 08.06.00 17:00 LMHOSTS.SAM ASPI2HLP SYS 1.105 08.06.00 17:00 ASPI2HLP.SYS CMD640X SYS 24.626 08.06.00 17:00 CMD640X.SYS CMD640X2 SYS 20.901 08.06.00 17:00 CMD640X2.SYS DBLBUFF SYS 2.614 08.06.00 17:00 DBLBUFF.SYS IFSHLP SYS 3.708 08.06.00 17:00 IFSHLP.SYS KEYB SYS 18.103 08.06.00 17:00 KEYB.SYS NLSFUNC SYS 6.295 08.06.00 17:00 NLSFUNC.SYS DISPLAY SYS 13.223 08.06.00 17:00 DISPLAY.SYS WALD BMP 66.146 08.06.00 17:00 Wald.bmp METALL BMP 36.182 08.06.00 17:00 Metall.bmp MASCHEN BMP 4.678 08.06.00 17:00 Maschen.bmp TWAIN DLL 94.879 08.06.00 17:00 TWAIN.DLL CALC EXE 98.576 08.06.00 17:00 CALC.EXE CHARMAP EXE 17.379 08.06.00 17:00 CHARMAP.EXE CLIPBRD EXE 18.851 08.06.00 17:00 CLIPBRD.EXE DIALER EXE 66.291 08.06.00 17:00 DIALER.EXE DRVSPACE EXE 341.059 08.06.00 17:00 DRVSPACE.EXE FREECELL EXE 29.011 08.06.00 17:00 FREECELL.EXE KODAKIMG EXE 536.576 08.06.00 17:00 KODAKIMG.EXE KODAKPRV EXE 114.688 08.06.00 17:00 KODAKPRV.EXE MPLAYER EXE 159.744 08.06.00 17:00 MPLAYER.EXE MSHEARTS EXE 122.675 08.06.00 17:00 MSHEARTS.EXE NETWATCH EXE 77.824 08.06.00 17:00 NETWATCH.EXE PBRUSH EXE 20.480 08.06.00 17:00 PBRUSH.EXE RSRCMTR EXE 32.768 08.06.00 17:00 RSRCMTR.EXE SNDREC32 EXE 114.688 08.06.00 17:00 SNDREC32.EXE SNDVOL32 EXE 73.728 08.06.00 17:00 SNDVOL32.EXE SOL EXE 171.711 08.06.00 17:00 SOL.EXE SYSMON EXE 81.920 08.06.00 17:00 SYSMON.EXE TWUNK_16 EXE 49.680 08.06.00 17:00 TWUNK_16.EXE SERVICES TXT 5.234 08.06.00 17:00 SERVICES.TXT COMMAND COM 95.504 08.06.00 17:00 COMMAND.COM STROHM~1 BMP 590 08.06.00 17:00 Strohmatte.bmp KUGELN BMP 2.118 08.06.00 17:00 Kugeln.bmp ŽGYPTEN BMP 582 08.06.00 17:00 Žgypten.bmp HAHNEN~1 BMP 470 08.06.00 17:00 Hahnentritt.bmp DREIECKE BMP 198 08.06.00 17:00 Dreiecke.bmp BLAUEN~1 BMP 194 08.06.00 17:00 Blaue Noppen.bmp SCHWAR~1 BMP 182 08.06.00 17:00 Schwarzes Geflecht.bmp ROTEST~1 BMP 2.754 08.06.00 17:00 Rote Steine.bmp GOLDGE~1 BMP 32.850 08.06.00 17:00 Goldgeflecht.bmp SANDST~1 BMP 32.854 08.06.00 17:00 Sandstein.bmp CHANNE~1 SCR 72.464 08.06.00 17:00 Channelbildschirmschoner.SCR UNINST32 EXE 57.344 10.05.00 16:49 UNINST32.EXE LOGOS SYS 129.078 08.04.00 19:07 LOGOS.SYS LOGOW SYS 129.078 08.04.00 19:07 logow.sys UNVISE~1 EXE 86.016 04.01.00 23:20 unvise32qt.exe UNVISE32 EXE 86.016 17.12.99 11:13 unvise32.exe UNARJ DLL 32.784 29.11.99 19:54 UNARJ.DLL CDMAN EXE 115.216 29.11.99 19:54 cdman.exe AVM_CPDI CLR 135.168 19.11.99 0:00 AVM_cpdi.clr AOLUNINS EXE 208.976 29.09.99 12:29 Aolunins.exe GRAFIKER INI 17 25.09.99 17:17 grafiker.ini PCDLIB32 DLL 212.480 26.05.99 9:46 pcdlib32.dll COMCTL32 OCA 224.256 31.03.99 12:46 Comctl32.oca MSMAPI32 OCA 43.520 31.03.99 12:46 Msmapi32.oca FASTREBT REG 232 18.03.99 8:06 FASTREBT.REG DELTTSUL EXE 6.656 12.01.99 11:39 DELTTSUL.EXE ISUN0407 EXE 328.704 17.11.98 13:44 IsUn0407.exe ISUNINST EXE 306.688 29.10.98 15:45 IsUninst.exe HPFSCHED EXE 35.328 23.09.98 20:42 hpfsched.exe EXE1 EXE 57.344 08.09.98 9:13 exe1.exe ACROREAD INI 1.942 01.09.98 16:07 ACROREAD.INI SETUP132 EXE 173.568 06.08.98 1:46 SETUP132.EXE ST4UNST EXE 61.440 06.08.98 1:46 ST4UNST.EXE ASYCFILT DLL 147.728 18.06.98 0:00 Asycfilt.dll OLEAUT32 DLL 598.288 18.06.98 0:00 Oleaut32.dll OLEPRO32 DLL 164.112 18.06.98 0:00 Olepro32.dll COMCTL32 OCX 604.432 15.05.98 20:01 Comctl32.ocx CTL3D32 DLL 26.624 17.02.98 13:59 Ctl3D32.dll UNIN0407 EXE 299.008 13.10.97 20:55 unin0407.exe ULEADI~1 SCR 21.504 30.01.97 21:08 Ulead iPhoto Plus 4.SCR MSVBVM50 DLL 1.334.032 24.01.97 0:00 Msvbvm50.dll COMCAT DLL 22.288 14.12.96 0:00 Comcat.dll UNINST EXE 299.008 05.11.96 16:13 uninst.exe STDOLE TLB 5.532 05.09.96 11:11 Stdole.tlb ATM INI 1.901 25.06.96 14:46 ATM.INI ACROGRAF INI 27 25.06.96 14:46 ACROGRAF.INI VB40032 DLL 721.168 15.08.95 0:00 Vb40032.dll 344 Datei(en) 174.065.765 Bytes 0 Verzeichnis(se) 3.059,43 MB frei Datentr„ger in Laufwerk C: 71_01_40 Seriennummer des Datentr„gers: 125D-14D3 Verzeichnis von C:\ SYS TXT 0 13.09.05 18:16 sys.txt SYSTEM TXT 19.874 13.09.05 18:16 system.txt SYSTEM~1 TXT 447 13.09.05 18:16 systemtemp.txt SYSTEM32 TXT 169 13.09.05 18:16 system32.txt SMITFI~1 TXT 807 13.09.05 17:56 smitfiles.txt LOG TXT 159 13.09.05 17:52 log.txt SCANDISK LOG 519 12.09.05 0:45 SCANDISK.LOG SETUPLOG TXT 27.541 01.08.05 17:45 SETUPLOG.TXT COMPATID TXT 781 30.07.05 0:49 COMPATID.TXT BOOT INI 221 05.07.05 9:42 BOOT.INI PAGEFILE SYS 120.586.240 05.07.05 9:37 PAGEFILE.SYS BOOTSECT DOS 512 05.07.05 9:36 BOOTSECT.DOS CTJINI INI 16 04.07.05 16:47 CTJINI.INI WARN0190 INI 225 31.01.05 18:11 WARN0190.ini SCRAMB~1 SVL 31.457.280 12.01.05 1:13 Scramble2.svl DETLOG TXT 50.238 22.12.04 22:43 DETLOG.TXT DS156_~1 PDF 161.755 21.12.04 1:31 ds156_complete.asp_pdf=DS156_Complete.pdf SCRAMBLE SVL 10.485.760 09.11.04 0:53 Scramble.svl TEST SVL 5.242.880 11.09.04 0:44 test.svl VLIST LOG 324 10.08.04 13:17 vlist.log OUT1 TXT 85 19.07.04 17:07 OUT1.TXT PDOXUSRS NET 13.030 21.01.04 23:10 PDOXUSRS.NET DETLOG OLD 50.126 11.01.04 18:33 DETLOG.OLD RECOVERY LOG 3.351 20.01.03 14:42 RECOVERY.LOG SYSTEM NEW 2.019.360 19.01.03 18:37 SYSTEM.NEW CONFIG WIN 0 19.01.03 18:31 CONFIG.WIN USER NEW 1.347.616 19.01.03 18:31 USER.NEW CLASSES NEW 4.575.264 19.01.03 18:31 CLASSES.NEW SETUPLOG OLD 212.653 12.01.03 10:58 SETUPLOG.OLD TIOSTREK INI 50 12.01.02 0:21 TIOstrek.INI 0102~1 RM 220 25.11.01 0:42 01.02.rm WARN0190 EXE 244.736 21.11.01 22:59 Warn0190.exe README TXT 7.366 21.11.01 19:50 ReadMe.txt TSWIN40D EXE 437.225 30.10.01 23:36 tswin40d.exe STARRI~1 SAV 1.519 22.09.01 1:32 starrider.sav WINDOW~1 BMK 63 05.09.01 18:12 WINDOWSWinHlp32.BMK NTLDR 224.032 18.08.01 12:00 NTLDR BOOTFONT BIN 4.952 18.08.01 12:00 BOOTFONT.BIN NTDETECT COM 45.124 18.08.01 12:00 NTDETECT.COM FRONTPG LOG 138 11.07.01 17:45 FRONTPG.LOG AILOG TXT 0 17.04.01 20:53 AILog.txt MKRAM RM 63 15.03.01 17:35 mkram.rm CONFIG SYS 0 21.01.01 15:58 CONFIG.SYS CONFIG BAK 0 21.01.01 15:58 CONFIG.BAK AUTOEXEC BAK 194 21.01.01 15:58 AUTOEXEC.BAK AUTOEXEC BAT 194 21.01.01 15:58 AUTOEXEC.BAT SYSCMNDR SYS 331.177 20.01.01 16:18 SYSCMNDR.SYS SCTEST ^^^ 1.200 20.01.01 16:18 SCTEST.^^^ SCOSW LOG 201 20.01.01 15:55 SCOSW.LOG GUT SGN 990 21.12.00 17:42 Gut.sgn STREET~1 SAV 145 18.12.00 16:29 streetflyter.sav POS TXT 24 10.12.00 16:14 pos.txt CDRWINXX CUE 776 13.11.00 19:32 CDRWINXX.CUE BOOTLOG TXT 77.272 10.11.00 18:26 BOOTLOG.TXT BOOTLOG PRV 74.228 10.11.00 18:16 BOOTLOG.PRV NETLOG TXT 15.616 13.10.00 13:40 NETLOG.TXT MSDOS SYS 1.660 12.10.00 14:54 MSDOS.SYS SUHDLOG DAT 5.166 12.10.00 13:22 SUHDLOG.DAT CLASSES 1ST 249.888 12.10.00 13:22 CLASSES.1ST SYSTEM 1ST 536.608 12.10.00 13:22 SYSTEM.1ST MSDOS --- 1.646 12.10.00 13:10 MSDOS.--- AUTOEXEC DOS 79 08.06.00 17:00 AUTOEXEC.DOS CONFIG DOS 47 08.06.00 17:00 CONFIG.DOS IO SYS 110.592 08.06.00 17:00 io.sys COMMAND COM 95.504 08.06.00 17:00 command.com LOGO SYS 129.078 08.04.00 19:07 LOGO.SYS SAVE32 COM 920 04.04.00 17:00 SAVE32.COM SYSCMNDR HLP 96.096 07.02.00 4:31 SYSCMNDR.HLP SCEDIT SYS 77.984 07.02.00 4:31 SCEDIT.SYS CHECKMBR EXE 13.740 07.02.00 4:31 CHECKMBR.EXE SCOSW_A SYS 15.845 07.02.00 4:31 SCOSW_A.SYS SCOSW_B SYS 59.333 07.02.00 4:31 SCOSW_B.SYS SCOSW_D SYS 45.115 07.02.00 4:31 SCOSW_D.SYS FILE_ID DIZ 414 29.09.98 12:23 file_id.diz 3C90X COM 62.896 29.04.98 16:48 3C90X.COM IPXODI COM 39.748 11.06.96 8:50 IPXODI.COM VLM EXE 37.776 14.05.96 8:09 VLM.EXE LSL COM 18.356 01.04.96 10:55 LSL.COM 78 Datei(en) 179.323.229 Bytes 0 Verzeichnis(se) 3.059,39 MB frei SmitRem smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ intell32.exe oleext.dll msmsgs.exe ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll Present!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll INFECTED!! :(

13.09.2005, 22:40 Sabina Ehrenmitglied Beiträge: 29434	#99 Hallo@benh suche mit Windowssuche wininet.dll schreibe mir, wie viele du findest und den pfad von allen. die Idee ist, die verseuchte zu substituieren __________ MfG Sabina rund um die PC-Sicherheit

14.09.2005, 20:28 benh ...neu hier Beiträge: 3	#100 Hallo, vielen Dank nochmal. Ich kann nur eine wininet.dll finden und zwar unter C:\WINDOWS\SYSTEM\ Hijackthis findet intell32 beim startuplist generien in der wininit.bak Hier ist das ganze Log: StartupList report, 14.09.2005, 20:20:17 StartupList version: 1.52.2 Started from : C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE Detected: Windows ME (Win9x 4.90.3000) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ANTIVIRUS\WIN95\CLAW95.EXE C:\WARN0190.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\WINDOWS\Startmenü\Programme\Autostart] Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ScanRegistry = C:\WINDOWS\scanregw.exe /autorun TaskMonitor = C:\WINDOWS\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Cat's Claw = C:\PROGRA~1\ANTIVI~1\WIN95\Claw95.exe 0190 Warner = C:\WARN0190.EXE -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme SchedulingAgent = mstask.exe SSDPSRV = C:\WINDOWS\SYSTEM\ssdpsrv.exe StillImageMonitor = C:\WINDOWS\SYSTEM\STIMON.EXE -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = C:\WINDOWS\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [{89820200-ECBD-11cf-8B85-00AA005B4395}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [PerUser_LinkBar_URLs] * StubPath = C:\WINDOWS\COMMAND\sulfnbk.exe /L [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {44BBA840-CC51-11CF-AAFA-00AA00B6015C} [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {7790769C-0471-11d2-AF11-00C04FA35D02} [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = C:\WINDOWS\SYSTEM\ie4uinit.exe [{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] * StubPath = C:\WINDOWS\SYSTEM\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=Explorer.exe SCRNSAVE.EXE= drivers=mmsystem.dll power.drv -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- C:\WINDOWS\WININIT.BAK listing: (Created 13/9/2005, 23:38:16) [Rename] NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\!SUBMIT\INTELL32.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: SET windir=C:\WINDOWS SET winbootdir=C:\WINDOWS SET COMSPEC=C:\WINDOWS\COMMAND.COM SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND SET PROMPT=$p$g SET TEMP=C:\WINDOWS\TEMP SET TMP=C:\WINDOWS\TEMP -------------------------------------------------- C:\WINDOWS\WINSTART.BAT listing: C:\WINDOWS\tmpcpyis.bat -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -------------------------------------------------- Enumerating Task Scheduler jobs: Programmstart beschleunigen.job PCHealth-Planer für die Zusammenstellung der Daten.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\DIRECTOR\SWDIR.DLL CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab [QuickTime Object] InProcServer32 = C:\WINDOWS\SYSTEM\QTPLUGIN.OCX CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab [{33564D57-9980-0010-8000-00AA00389B71}] CODEBASE = http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL UPnPMonitor: C:\WINDOWS\SYSTEM\UPNPUI.DLL AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL -------------------------------------------------- End of report, 6.914 bytes Report generated in 0,255 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Diesbezüglich finde ich folgende Dateien: WININIT.exe in C:\WINDOWS\ WININIT.LOG in C:\WINDOWS\ WININIT.bak in C:\WINDOWS\ WININIT.ERR in C:\WINDOWS\ wininitlog.old in C:\WINDOWS\ WININIT.sav in C:\WINDOWS\ WININIT.bak sieht so aus: [Rename] NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\!SUBMIT\INTELL32.EXE WININIT.LOG so: DELETE_FILE C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT C:\_RESTORE\TEMP\INDEX.4 0x20 DELETE_FILE C:\WINDOWS\COOKIES\INDEX.DAT C:\_RESTORE\TEMP\INDEX.5 0x20 DELETE_FILE C:\!SUBMIT\INTELL32.EXE C:\_RESTORE\TEMP\INTELL32.8 0x0 WININIT.ERR so: ERROR: RENAME_FILE C:\_RESTORE\ARCHIVE\FS477.CAB C:\_RESTORE\ARCHIVE\FS477.CAB.MWT 0x0 ERROR: RENAME_FILE C:\_RESTORE\ARCHIVE\FS415.CAB C:\_RESTORE\ARCHIVE\FS415.CAB.MWT 0x0 ERROR: RENAME_FILE C:\_RESTORE\TEMP\A0528070.CPY C:\_RESTORE\TEMP\A0528070.CPY.MWT 0x0 ERROR: RENAME_FILE C:\_RESTORE\TEMP\A0528070.CPY C:\_RESTORE\TEMP\A0528070.CPY.MWT 0x0 wininitlog.old so: DELETE_FILE C:\PROGRA~1\GEMEIN~1\MICROS~1\GEOGRA~1\SETUP\SEU70407.DLL C:\_RESTORE\TEMP\SEU70407.0 0x20 DELETE_FILE C:\PROGRA~1\GEMEIN~1\MICROS~1\GEOGRA~1\SETUP\MSSETUP.DLL C:\_RESTORE\TEMP\MSSETUP.0 0x20 DELETE_FILE C:\PROGRA~1\GEMEIN~1\MICROS~1\GEOGRA~1\SETUP\ACMSETUP.EXE C:\_RESTORE\TEMP\ACMSETUP.0 0x20 DELETE_FILE C:\WINDOWS\TEMP\GLB1A2B.EXE C:\_RESTORE\TEMP\GLB1A2B.0 0x20 Und zu guter Letzt WININIT.sav so: [Rename] NUL=C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE=C:\WINDOWS\SYSTEM\SETC2A3.TMP NUL=C:\WINDOWS\SYSTEM\DXDIAG.EXE C:\WINDOWS\SYSTEM\DXDIAG.EXE=C:\WINDOWS\SYSTEM\SETC2B0.TMP NUL=C:\WINDOWS\SYSTEM\DDRAW.DLL C:\WINDOWS\SYSTEM\DDRAW.DLL=C:\WINDOWS\SYSTEM\SETC2B2.TMP NUL=C:\WINDOWS\SYSTEM\DXMIGR.DLL C:\WINDOWS\SYSTEM\DXMIGR.DLL=C:\WINDOWS\SYSTEM\SETC2B3.TMP NUL=C:\WINDOWS\SYSTEM\D3DIM700.DLL C:\WINDOWS\SYSTEM\D3DIM700.DLL=C:\WINDOWS\SYSTEM\SETC2C4.TMP NUL=C:\WINDOWS\SYSTEM\D3DREF.DLL C:\WINDOWS\SYSTEM\D3DREF.DLL=C:\WINDOWS\SYSTEM\SETC2D0.TMP NUL=C:\WINDOWS\SYSTEM\DPLAYSVR.EXE C:\WINDOWS\SYSTEM\DPLAYSVR.EXE=C:\WINDOWS\SYSTEM\SETC2D1.TMP NUL=C:\WINDOWS\SYSTEM\DPLAYX.DLL C:\WINDOWS\SYSTEM\DPLAYX.DLL=C:\WINDOWS\SYSTEM\SETC2D2.TMP NUL=C:\WINDOWS\SYSTEM\DPMODEMX.DLL C:\WINDOWS\SYSTEM\DPMODEMX.DLL=C:\WINDOWS\SYSTEM\SETC2D3.TMP NUL=C:\WINDOWS\SYSTEM\DPVHELP.EXE C:\WINDOWS\SYSTEM\DPVHELP.EXE=C:\WINDOWS\SYSTEM\SETC2D4.TMP NUL=C:\WINDOWS\SYSTEM\DPWSOCKX.DLL C:\WINDOWS\SYSTEM\DPWSOCKX.DLL=C:\WINDOWS\SYSTEM\SETC2D6.TMP NUL=C:\WINDOWS\SYSTEM\DMBAND.DLL C:\WINDOWS\SYSTEM\DMBAND.DLL=C:\WINDOWS\SYSTEM\SETC303.TMP NUL=C:\WINDOWS\SYSTEM\DMCOMPOS.DLL C:\WINDOWS\SYSTEM\DMCOMPOS.DLL=C:\WINDOWS\SYSTEM\SETC304.TMP NUL=C:\WINDOWS\SYSTEM\DMIME.DLL C:\WINDOWS\SYSTEM\DMIME.DLL=C:\WINDOWS\SYSTEM\SETC305.TMP NUL=C:\WINDOWS\SYSTEM\DMLOADER.DLL C:\WINDOWS\SYSTEM\DMLOADER.DLL=C:\WINDOWS\SYSTEM\SETC306.TMP NUL=C:\WINDOWS\SYSTEM\DMUSIC.DLL C:\WINDOWS\SYSTEM\DMUSIC.DLL=C:\WINDOWS\SYSTEM\SETC307.TMP NUL=C:\WINDOWS\SYSTEM\DMUSIC16.DLL C:\WINDOWS\SYSTEM\DMUSIC16.DLL=C:\WINDOWS\SYSTEM\SETC310.TMP NUL=C:\WINDOWS\SYSTEM\DMUSIC32.DLL C:\WINDOWS\SYSTEM\DMUSIC32.DLL=C:\WINDOWS\SYSTEM\SETC311.TMP NUL=C:\WINDOWS\SYSTEM\DMSTYLE.DLL C:\WINDOWS\SYSTEM\DMSTYLE.DLL=C:\WINDOWS\SYSTEM\SETC312.TMP NUL=C:\WINDOWS\SYSTEM\DMSYNTH.DLL C:\WINDOWS\SYSTEM\DMSYNTH.DLL=C:\WINDOWS\SYSTEM\SETC313.TMP NUL=C:\WINDOWS\SYSTEM\DX7VB.DLL C:\WINDOWS\SYSTEM\DX7VB.DLL=C:\WINDOWS\SYSTEM\SETC314.TMP NUL=C:\WINDOWS\SYSTEM\DSOUND.DLL C:\WINDOWS\SYSTEM\DSOUND.DLL=C:\WINDOWS\SYSTEM\SETC316.TMP NUL=C:\WINDOWS\SYSTEM\DSOUND.VXD C:\WINDOWS\SYSTEM\DSOUND.VXD=C:\WINDOWS\SYSTEM\SETC320.TMP NUL=C:\WINDOWS\SYSTEM\DSOUND3D.DLL C:\WINDOWS\SYSTEM\DSOUND3D.DLL=C:\WINDOWS\SYSTEM\SETC322.TMP NUL=C:\WINDOWS\SYSTEM\DINPUT.DLL C:\WINDOWS\SYSTEM\DINPUT.DLL=C:\WINDOWS\SYSTEM\SETC324.TMP NUL=C:\WINDOWS\SYSTEM\DINPUT.VXD C:\WINDOWS\SYSTEM\DINPUT.VXD=C:\WINDOWS\SYSTEM\SETC325.TMP NUL=C:\WINDOWS\SYSTEM\JOYHID.VXD C:\WINDOWS\SYSTEM\JOYHID.VXD=C:\WINDOWS\SYSTEM\SETC326.TMP NUL=C:\WINDOWS\SYSTEM\PID.DLL C:\WINDOWS\SYSTEM\PID.DLL=C:\WINDOWS\SYSTEM\SETC327.TMP NUL=C:\WINDOWS\SYSTEM\GCDEF.DLL C:\WINDOWS\SYSTEM\GCDEF.DLL=C:\WINDOWS\SYSTEM\SETC330.TMP NUL=C:\WINDOWS\SYSTEM\JOY.CPL C:\WINDOWS\SYSTEM\JOY.CPL=C:\WINDOWS\SYSTEM\SETC331.TMP NUL=C:\WINDOWS\SYSTEM\VJOYD.VXD C:\WINDOWS\SYSTEM\VJOYD.VXD=C:\WINDOWS\SYSTEM\SETC332.TMP NUL=C:\WINDOWS\SYSTEM\MSANALOG.VXD C:\WINDOWS\SYSTEM\MSANALOG.VXD=C:\WINDOWS\SYSTEM\SETC333.TMP NUL=C:\WINDOWS\SYSTEM\MSJSTICK.DRV C:\WINDOWS\SYSTEM\MSJSTICK.DRV=C:\WINDOWS\SYSTEM\SETC334.TMP NUL=C:\WINDOWS\SYSTEM\GCHAND.DLL C:\WINDOWS\SYSTEM\GCHAND.DLL=C:\WINDOWS\SYSTEM\SETC335.TMP NUL=C:\WINDOWS\HELP\DXDIAG.CHM C:\WINDOWS\HELP\DXDIAG.CHM=C:\WINDOWS\HELP\SETC336.TMP NUL=C:\WINDOWS\HELP\DIJOY.HLP C:\WINDOWS\HELP\DIJOY.HLP=C:\WINDOWS\HELP\SETC340.TMP NUL=C:\WINDOWS\INF\DX8MIGR.INF C:\WINDOWS\INF\DX8MIGR.INF=C:\WINDOWS\INF\SETC341.TMP NUL=C:\WINDOWS\INF\DXDLLREG.INF C:\WINDOWS\INF\DXDLLREG.INF=C:\WINDOWS\INF\SETC342.TMP NUL=C:\WINDOWS\INF\JOYSTICK.INF C:\WINDOWS\INF\JOYSTICK.INF=C:\WINDOWS\INF\SETC343.TMP NUL=C:\WINDOWS\SYSTEM\D3D8.DLL C:\WINDOWS\SYSTEM\D3D8.DLL=C:\WINDOWS\SYSTEM\SETC350.TMP NUL=C:\WINDOWS\SYSTEM\D3DREF8.DLL C:\WINDOWS\SYSTEM\D3DREF8.DLL=C:\WINDOWS\SYSTEM\SETC352.TMP NUL=C:\WINDOWS\SYSTEM\DPNADDR.DLL C:\WINDOWS\SYSTEM\DPNADDR.DLL=C:\WINDOWS\SYSTEM\SETC353.TMP NUL=C:\WINDOWS\SYSTEM\DPNET.DLL C:\WINDOWS\SYSTEM\DPNET.DLL=C:\WINDOWS\SYSTEM\SETC354.TMP NUL=C:\WINDOWS\SYSTEM\DPNLOBBY.DLL C:\WINDOWS\SYSTEM\DPNLOBBY.DLL=C:\WINDOWS\SYSTEM\SETC355.TMP NUL=C:\WINDOWS\SYSTEM\DPNMODEM.DLL C:\WINDOWS\SYSTEM\DPNMODEM.DLL=C:\WINDOWS\SYSTEM\SETC356.TMP NUL=C:\WINDOWS\SYSTEM\DPNWSOCK.DLL C:\WINDOWS\SYSTEM\DPNWSOCK.DLL=C:\WINDOWS\SYSTEM\SETC360.TMP NUL=C:\WINDOWS\SYSTEM\DPNSVR.EXE C:\WINDOWS\SYSTEM\DPNSVR.EXE=C:\WINDOWS\SYSTEM\SETC361.TMP NUL=C:\WINDOWS\SYSTEM\DPVACM.DLL C:\WINDOWS\SYSTEM\DPVACM.DLL=C:\WINDOWS\SYSTEM\SETC362.TMP NUL=C:\WINDOWS\SYSTEM\DPVSETUP.EXE C:\WINDOWS\SYSTEM\DPVSETUP.EXE=C:\WINDOWS\SYSTEM\SETC363.TMP NUL=C:\WINDOWS\SYSTEM\DPVOICE.DLL C:\WINDOWS\SYSTEM\DPVOICE.DLL=C:\WINDOWS\SYSTEM\SETC364.TMP NUL=C:\WINDOWS\SYSTEM\DPVVOX.DLL C:\WINDOWS\SYSTEM\DPVVOX.DLL=C:\WINDOWS\SYSTEM\SETC365.TMP NUL=C:\WINDOWS\SYSTEM\DIACTFRM.DLL C:\WINDOWS\SYSTEM\DIACTFRM.DLL=C:\WINDOWS\SYSTEM\SETC366.TMP NUL=C:\WINDOWS\SYSTEM\DIMAP.DLL C:\WINDOWS\SYSTEM\DIMAP.DLL=C:\WINDOWS\SYSTEM\SETC367.TMP NUL=C:\WINDOWS\SYSTEM\DINPUT8.DLL C:\WINDOWS\SYSTEM\DINPUT8.DLL=C:\WINDOWS\SYSTEM\SETC370.TMP NUL=C:\WINDOWS\SYSTEM\DMSCRIPT.DLL C:\WINDOWS\SYSTEM\DMSCRIPT.DLL=C:\WINDOWS\SYSTEM\SETC371.TMP NUL=C:\WINDOWS\SYSTEM\DSWAVE.DLL C:\WINDOWS\SYSTEM\DSWAVE.DLL=C:\WINDOWS\SYSTEM\SETC372.TMP NUL=C:\WINDOWS\SYSTEM\DSDMO.DLL C:\WINDOWS\SYSTEM\DSDMO.DLL=C:\WINDOWS\SYSTEM\SETC373.TMP NUL=C:\WINDOWS\SYSTEM\DSDMOPRP.DLL C:\WINDOWS\SYSTEM\DSDMOPRP.DLL=C:\WINDOWS\SYSTEM\SETC374.TMP NUL=C:\WINDOWS\SYSTEM\DX8VB.DLL C:\WINDOWS\SYSTEM\DX8VB.DLL=C:\WINDOWS\SYSTEM\SETC375.TMP NUL=C:\WINDOWS\SYSTEM\AMSTREAM.DLL C:\WINDOWS\SYSTEM\AMSTREAM.DLL=C:\WINDOWS\SYSTEM\SETC380.TMP NUL=C:\WINDOWS\SYSTEM\DEVENUM.DLL C:\WINDOWS\SYSTEM\DEVENUM.DLL=C:\WINDOWS\SYSTEM\SETC381.TMP NUL=C:\WINDOWS\SYSTEM\MCIQTZ32.DLL C:\WINDOWS\SYSTEM\MCIQTZ32.DLL=C:\WINDOWS\SYSTEM\SETC382.TMP NUL=C:\WINDOWS\SYSTEM\MCIQTZ.DRV C:\WINDOWS\SYSTEM\MCIQTZ.DRV=C:\WINDOWS\SYSTEM\SETC383.TMP NUL=C:\WINDOWS\SYSTEM\MPG2SPLT.AX C:\WINDOWS\SYSTEM\MPG2SPLT.AX=C:\WINDOWS\SYSTEM\SETC384.TMP NUL=C:\WINDOWS\SYSTEM\MSDMO.DLL C:\WINDOWS\SYSTEM\MSDMO.DLL=C:\WINDOWS\SYSTEM\SETC385.TMP NUL=C:\WINDOWS\SYSTEM\MSWEBDVD.DLL C:\WINDOWS\SYSTEM\MSWEBDVD.DLL=C:\WINDOWS\SYSTEM\SETC386.TMP NUL=C:\WINDOWS\SYSTEM\QASF.DLL C:\WINDOWS\SYSTEM\QASF.DLL=C:\WINDOWS\SYSTEM\SETC387.TMP NUL=C:\WINDOWS\SYSTEM\QCAP.DLL C:\WINDOWS\SYSTEM\QCAP.DLL=C:\WINDOWS\SYSTEM\SETC390.TMP NUL=C:\WINDOWS\SYSTEM\QDV.DLL C:\WINDOWS\SYSTEM\QDV.DLL=C:\WINDOWS\SYSTEM\SETC391.TMP NUL=C:\WINDOWS\SYSTEM\QDVD.DLL C:\WINDOWS\SYSTEM\QDVD.DLL=C:\WINDOWS\SYSTEM\SETC392.TMP NUL=C:\WINDOWS\SYSTEM\QEDIT.DLL C:\WINDOWS\SYSTEM\QEDIT.DLL=C:\WINDOWS\SYSTEM\SETC394.TMP NUL=C:\WINDOWS\SYSTEM\QEDWIPES.DLL C:\WINDOWS\SYSTEM\QEDWIPES.DLL=C:\WINDOWS\SYSTEM\SETC3A1.TMP NUL=C:\WINDOWS\SYSTEM\QUARTZ.DLL C:\WINDOWS\SYSTEM\QUARTZ.DLL=C:\WINDOWS\SYSTEM\SETC3A3.TMP NUL=C:\WINDOWS\SYSTEM\QUARTZ.VXD C:\WINDOWS\SYSTEM\QUARTZ.VXD=C:\WINDOWS\SYSTEM\SETC3A4.TMP NUL=C:\WINDOWS\SYSTEM\VIDX16.DLL C:\WINDOWS\SYSTEM\VIDX16.DLL=C:\WINDOWS\SYSTEM\SETC3A5.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MIGRATE.DLL C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MIGRATE.DLL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3A5.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSJSTICK.DRV C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSJSTICK.DRV=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3A6.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\VJOYD.VXD C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\VJOYD.VXD=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3A7.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\JOYSTICK.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\JOYSTICK.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3B0.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\DPVHELP.EXE C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\DPVHELP.EXE=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3B1.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\DX8MIGR.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\DX8MIGR.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETC3B2.TMP NUL=C:\WINDOWS\SYSTEM\KSPROXY.AX C:\WINDOWS\SYSTEM\KSPROXY.AX=C:\WINDOWS\SYSTEM\SETD0E6.TMP NUL=C:\WINDOWS\SYSTEM\KSOLAY.AX C:\WINDOWS\SYSTEM\KSOLAY.AX=C:\WINDOWS\SYSTEM\SETD114.TMP NUL=C:\WINDOWS\SYSTEM\KSUSER.DLL C:\WINDOWS\SYSTEM\KSUSER.DLL=C:\WINDOWS\SYSTEM\SETD115.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\KS.SYS C:\WINDOWS\SYSTEM32\DRIVERS\KS.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD120.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\MSKSSRV.SYS C:\WINDOWS\SYSTEM32\DRIVERS\MSKSSRV.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD121.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\MSPCLOCK.SYS C:\WINDOWS\SYSTEM32\DRIVERS\MSPCLOCK.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD122.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\MSTEE.SYS C:\WINDOWS\SYSTEM32\DRIVERS\MSTEE.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD123.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\STREAM.SYS C:\WINDOWS\SYSTEM32\DRIVERS\STREAM.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD124.TMP NUL=C:\WINDOWS\SYSTEM32\DRIVERS\SWENUM.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SWENUM.SYS=C:\WINDOWS\SYSTEM32\DRIVERS\SETD125.TMP NUL=C:\WINDOWS\INF\KS.INF C:\WINDOWS\INF\KS.INF=C:\WINDOWS\INF\SETD123.TMP NUL=C:\WINDOWS\INF\KSFILTER.INF C:\WINDOWS\INF\KSFILTER.INF=C:\WINDOWS\INF\SETD124.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD123.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS98.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS98.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD124.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSFILTER.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSFILTER.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD125.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSFILT98.INF C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSFILT98.INF=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD126.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD127.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS98.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KS98.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD128.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSSE.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\KSSE.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD130.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD131.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.98 C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.98=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD132.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.SE C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\MSPCLOCK.SE=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD133.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\STREAM.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\STREAM.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD134.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\STREAM98.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\STREAM98.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD135.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUM.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUM.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD136.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUM98.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUM98.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD137.TMP NUL=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUMSE.SYS C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SWENUMSE.SYS=C:\WINDOWS\SYSTEM\DIRECTX\MIGRATE\SETD138.TMP Hilft das vielleicht weiter? Find's übrigens echt super, das ihr mir hier helfen könnte. Grüße, Ben

14.09.2005, 22:50 Sabina Ehrenmitglied Beiträge: 29434	#101 C:\WINDOWS\WININIT.BAK listing: (Created 13/9/2005, 23:38:16) [Rename] NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT NUL=C:\WINDOWS\COOKIES\INDEX.DAT NUL=C:\!SUBMIT\INTELL32.EXE<---das solltest du loeschen dann suche im Net eine saubere wininet.dll und benenne die verseuchte um in old und loesche sie, wenn die neue korrekt im Pfad eingebunden ist. (an Stelle der verseuchten) __________ MfG Sabina rund um die PC-Sicherheit

26.09.2005, 19:08 Halbos Member Beiträge: 15	#102 Hallo Sabina, du hast mir vor einem halben Jahr schoneinmal geholfen, aber ich muss dich nochmals um Hilfe bitten. Ich habe diesen PSGuard auf meinem pc. Rechts unten in der Leiste leuchtet ein roter punkt mit einem Ausrufezeichen, wenn man raufgeht kommt ''your computer is infected''. Zudem befindet sich auf dem Desktop ein ''Icon'' mit dem Titel PSGuard spyware remover. Ich bin nicht fähig dies wegzubekommen, aber ich weiss das du mir helfen kannst, also bitte......hilf mir! Logfile of HijackThis v1.99.1 Scan saved at 18:48:43, on 26.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\intell32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\PSGuard\PSGuard.exe C:\Dokumente und Einstellungen\XXXXXXXX\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://www.pcpitstop.com/antivirus/PitPav.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF086372-9C16-41F0-8AEC-5D1A38821B7E}: NameServer = 195.50.140.252 195.50.140.250 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Wie gehe ich vor? Gruss & Dank halbos. Dieser Beitrag wurde am 29.09.2005 um 21:51 Uhr von Halbos editiert.

26.09.2005, 19:12 Sabina Ehrenmitglied Beiträge: 29434	#103 Hallo@Halbos poste bitte die 4 logs (mit der pfadangabe oberhalb) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit

26.09.2005, 19:21 Halbos Member Beiträge: 15	#104 Hallo, vielen Dank für die schnelle Antwort! Also ich bekomme es nicht auf die Reihe. Ich habe folgendes gemacht so wie es da steht---> Lade die datFind.bat : oben in der Browserleiste - Datei - Seite speichern unter.... - wähle Desktop - dann erscheint eine datFind.bat auf dem Bildschirm. Jetzt hab ich einen Ordner auf dem Desktop mit GIF-Bildern/Dateien und einen Internet link der die vorherige Seite wieder öffnet. Es findet sich nur ein GIF-Bild das datFind.bat heisst, aber es öffnet sich kein Editor. Tut mir leid das ich deine zeit beanspruche, aber ich komme nicht weiter. Dieser Beitrag wurde am 26.09.2005 um 19:34 Uhr von Halbos editiert.

26.09.2005, 19:41 Sabina Ehrenmitglied Beiträge: 29434	#105 http://virus-protect.org/bat/datFind.bat nimm die __________ MfG Sabina rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): Erste Seite 4 5 6 7 8