Jetzt hat es mich auch mit den pop ups erwischt

#0
12.11.2005, 00:40
Member

Beiträge: 23
#1 Hallo Leute
Habe jetzt auch dies nervigen pop ups auf meiner maschine. Habe mich an eure Ratschläge gehalten und das was ihr so als Tipps gegeben habt ausprobiert. Leider ohne erfolg. Anbei

Hijack log
Logfile of HijackThis v1.99.1
Scan saved at 00:30:29, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe /startupscan
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\r4p8le7u1h.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

L2mfix report

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Controls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\g2jo0c13ef.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{18C5B6CE-9252-A148-54AA-0F42E8DEB20A}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{2F603045-309F-11CF-9774-0020AFD0CFF6}"="Synaptics Control Panel"
"{B327765E-D724-4347-8B16-78AE18552FC3}"="NeroDigitalIconHandler"
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}"="NeroDigitalPropSheetHandler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{AFE1261E-F577-475E-87C4-D8F5E2B4A240}"=""
"{ECE06138-A711-4117-9533-C6170666F0FF}"=""
"{F970C61A-EE90-4840-98C6-0729F25BAACF}"=""
"{87C70D24-A79D-4F8F-A09F-7D19F2339C93}"=""
"{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}"=""
"{3F751102-0CEA-476D-A20F-08644D45F640}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\InprocServer32]
@="C:\\WINDOWS\\system32\\ilgutil.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\InprocServer32]
@="C:\\WINDOWS\\system32\\mgctf.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\InprocServer32]
@="C:\\WINDOWS\\system32\\wanetmgr.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
afitvo32.dll Mon 7 Nov 2005 19:21:52 ..S.R 235.860 230,33 K
dnr801~1.dll Fri 11 Nov 2005 19:57:40 ..S.R 236.751 231,20 K
fplm03~1.dll Fri 11 Nov 2005 18:20:06 ..S.R 235.860 230,33 K
g2jo0c~1.dll Sat 12 Nov 2005 0:07:14 ..... 234.146 228,66 K
gekrsrc.dll Sat 12 Nov 2005 0:09:00 ..S.R 234.146 228,66 K
irn0l5~1.dll Fri 11 Nov 2005 20:40:28 ..S.R 235.860 230,33 K
kvdcz1.dll Mon 7 Nov 2005 21:51:48 ..S.R 237.016 231,46 K
mgctf.dll Sat 12 Nov 2005 0:17:12 ..... 234.146 228,66 K
mvj6l9~1.dll Fri 11 Nov 2005 19:12:46 ..S.R 234.057 228,57 K
n28o0c~1.dll Tue 8 Nov 2005 18:34:40 ..S.R 237.016 231,46 K
odgina~1.dll Thu 3 Nov 2005 16:48:14 A.... 532.558 520,07 K
odyevent.dll Thu 3 Nov 2005 16:48:12 A.... 106.496 104,00 K
odygina.dll Thu 3 Nov 2005 16:48:14 A.... 139.330 136,06 K
r4p8le~1.dll Sat 12 Nov 2005 0:16:00 ..S.R 234.146 228,66 K
unaudi~1.dll Tue 23 Aug 2005 14:41:48 A.... 36.864 36,00 K
uudmxfrm.dll Fri 4 Nov 2005 20:47:56 ..S.R 236.055 230,52 K
vbmdbg.dll Fri 11 Nov 2005 19:12:48 ..S.R 235.860 230,33 K
wanetmgr.dll Fri 11 Nov 2005 21:58:26 ..S.R 234.146 228,66 K
wgfeman.dll Fri 11 Nov 2005 23:41:14 ..S.R 234.146 228,66 K
wistream.dll Fri 11 Nov 2005 18:01:04 ..S.R 235.860 230,33 K

20 items found: 20 files (14 H/S), 0 directories.
Total of file sizes: 4.580.319 bytes 4,37 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
guard.tmp Sat 12 Nov 2005 0:20:14 ..S.R 234.146 228,66 K

1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 234.146 bytes 228,66 K
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896

Verzeichnis von C:\WINDOWS\System32

12.11.2005 00:20 234.146 guard.tmp
12.11.2005 00:15 234.146 r4p8le7u1h.dll
12.11.2005 00:08 234.146 gekrsrc.dll
11.11.2005 23:41 234.146 wgfeman.dll
11.11.2005 21:58 234.146 wanetmgr.dll
11.11.2005 20:58 <DIR> dllcache
11.11.2005 20:40 235.860 irn0l55m1.dll
11.11.2005 19:57 236.751 dnr8019ue.dll
11.11.2005 19:12 235.860 vbmdbg.dll
11.11.2005 19:12 234.057 mvj6l91s1.dll
11.11.2005 18:20 235.860 fplm0331e.dll
11.11.2005 18:01 235.860 wistream.dll
08.11.2005 18:34 237.016 n28o0cl3efq.dll
07.11.2005 21:51 237.016 kvdcz1.dll
07.11.2005 19:21 235.860 afitvo32.dll
04.11.2005 20:47 236.055 uudmxfrm.dll
07.09.2005 13:48 <DIR> Microsoft
15 Datei(en) 3.530.925 Bytes
2 Verzeichnis(se), 71.171.526.656 Bytes frei

Adaware add on Meldung

Posssible new VX2 variant file:
C:\WINDOWS\system32\r4p8le7u1h.dll

so das waren meine gesammelten Werke.

Kann damit jemand etwas anfangen.

Im voraus besten Dank

Euer Michelangelo
Seitenanfang Seitenende
12.11.2005, 01:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 nun arbeite die Option 2 ab und poste das neue Log vom Scan:
http://virus-protect.org/l2mfix.html

Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter].

# Drücken Sie eine beliebige Taste, um einen Systemneustart einzuleiten.

# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen.

wenn kein Log erscheinen sollte: doppelclick -> second.bat

Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V) oder wieder mit der rechten Maustaste.

und dann Option 4

-------------------------------

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 14:16
Member

Themenstarter

Beiträge: 23
#3 Hi Sabina

Habe alles so gemacht wie gewünscht. Die Maschine ist die ganze Nacht gelaufen und ich habe sie jetzt nach ca 11 Stunden abgebrochen Logfile gibt es aber denoch und folgt hier

Setting Directory
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix

Running From:
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1416 'smss.exe'
Error 0x6 : Das Handle ist ungültig.


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1656 'winlogon.exe'
Error 0x6 : Das Handle ist ungültig.


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 304 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1008 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
Backing Up: C:\WINDOWS\system32\myc71u.dll
1 Datei(en) kopiert.
Backing Up: C:\WINDOWS\system32\wfsdmoe2.dll
1 Datei(en) kopiert.
Backing Up: C:\WINDOWS\system32\guard.tmp
1 Datei(en) kopiert.
deleting: C:\WINDOWS\system32\myc71u.dll
Successfully Deleted: C:\WINDOWS\system32\myc71u.dll
deleting: C:\WINDOWS\system32\wfsdmoe2.dll
Successfully Deleted: C:\WINDOWS\system32\wfsdmoe2.dll
deleting: C:\WINDOWS\system32\guard.tmp


Zipping up files for submission:
adding: myc71u.dll (164 bytes security) (deflated 5%)
adding: wfsdmoe2.dll (164 bytes security) (deflated 4%)
updating: guard.tmp (164 bytes security) (deflated 4%)
updating: clear.reg (164 bytes security) (deflated 37%)
zip warning: name not matched: *.ini

zip error: Nothing to do! (backup.zip)
updating: lo2.txt (164 bytes security) (deflated 68%)
updating: readme.txt (164 bytes security) (deflated 52%)
updating: report.txt (164 bytes security) (deflated 65%)
updating: res.txt (164 bytes security) (deflated 65%)
updating: test.txt (164 bytes security) (deflated 48%)
updating: test2.txt (164 bytes security) (deflated 17%)
updating: test3.txt (164 bytes security) (deflated 17%)
updating: test5.txt (164 bytes security) (deflated 17%)
updating: xfind.txt (164 bytes security) (deflated 41%)
updating: log.txt (164 bytes security) (deflated 79%)
updating: backregs/3F751102-0CEA-476D-A20F-08644D45F640.reg (164 bytes security) (deflated 70%)
updating: backregs/4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE.reg (164 bytes security) (deflated 70%)
updating: backregs/87C70D24-A79D-4F8F-A09F-7D19F2339C93.reg (164 bytes security) (deflated 70%)
updating: backregs/AFE1261E-F577-475E-87C4-D8F5E2B4A240.reg (164 bytes security) (deflated 69%)
updating: backregs/ECE06138-A711-4117-9533-C6170666F0FF.reg (164 bytes security) (deflated 70%)
updating: backregs/F970C61A-EE90-4840-98C6-0729F25BAACF.reg (164 bytes security) (deflated 70%)
updating: backregs/notibac.reg (164 bytes security) (deflated 87%)
updating: backregs/shell.reg (164 bytes security) (deflated 73%)
updating: backregs/918384CF-B6F6-43BB-ADA4-C0443512A87F.reg (164 bytes security) (deflated 70%)
updating: backregs/E9A3F4F3-0A0A-4174-8F78-08BF12F510C1.reg (164 bytes security) (deflated 70%)
adding: backregs/83C8CC14-F33C-4A30-A086-E67DAEC97B70.reg (164 bytes security) (deflated 70%)
adding: backregs/E0D9248B-8AAD-4E89-8FE8-1394952DC2C3.reg (164 bytes security) (deflated 70%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!
Warning (option /rga;)IO)) - There is no ACE to remove!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:

deleting local copy: myc71u.dll
deleting local copy: wfsdmoe2.dll
deleting local copy: guard.tmp

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\hrn4055qe.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\myc71u.dll
C:\WINDOWS\system32\wfsdmoe2.dll
C:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{E0D9248B-8AAD-4E89-8FE8-1394952DC2C3}"=-
"{83C8CC14-F33C-4A30-A086-E67DAEC97B70}"=-
[-HKEY_CLASSES_ROOT\CLSID\{E0D9248B-8AAD-4E89-8FE8-1394952DC2C3}]
[-HKEY_CLASSES_ROOT\CLSID\{83C8CC14-F33C-4A30-A086-E67DAEC97B70}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************


Und falls notwendig nochmal aktuell Hijack Logfile

Logfile of HijackThis v1.99.1
Scan saved at 14:15:01, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe /startupscan
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{126F9238-9BAF-4A0C-9746-111B9E850FD5}: NameServer = 195.247.247.195 62.27.27.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{126F9238-9BAF-4A0C-9746-111B9E850FD5}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\mvj2l91o1.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Pop ups nachwievor da.

Danke schon mal im Voraus

Michelangelo
Seitenanfang Seitenende
12.11.2005, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 loesche manuell: C:\WINDOWS\system32\guard.tmp

VX2Finder XP/2000

http://www.downloads.subratam.org/VX2Finder.exe
scanne und poste den scanreport

Spysweeper trial (scanne und poste den scanreport)
http://virus-protect.org/spysweeper.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 15:52
Member

Themenstarter

Beiträge: 23
#5 Hi Sabina

O.K erstel Ladung ist VX2 Scan der rest folgt auch gleich nach dem Download


Log for VX2.BetterInternet File Finder (ALL)

Files Found---

Additional Files---

Keys Under Notify---
Applets
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon
wzcnotif


Guardian Key--- is called:

Guardian Key--- :

User Agent String---
{18C5B6CE-9252-A148-54AA-0F42E8DEB20A}


MFG Michelangelo
Seitenanfang Seitenende
12.11.2005, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 der Spysweeper muesste das Problem nun erledigen...aber loesche vorher die guard.temp ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 16:10
Member

Themenstarter

Beiträge: 23
#7 O.K ich will es versuchen.
Guard.temp kann nicht gelöscht werden.
Reicht es beim Booten ?
Welches Programm nehme ich besser Killbox oder Hijack?

Wenn es nicht so traurig wäre müßte ich langsam lachen mein Desktop ist voll mit Antispy und co


Grüße Michelangelo
Seitenanfang Seitenende
12.11.2005, 16:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nimm die Killbox....dann neustarten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 17:53
Member

Themenstarter

Beiträge: 23
#9 Hi Sabina

Guard.temp is weg

Spysweeper Log anbei

16:50: | Start of Session, Samstag, 12. November 2005 |
16:50: Spy Sweeper started
16:50: Sweep initiated using definitions version 556
16:50: Found Adware: icannnews
16:50: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\shareddlls\ || dllname (ID = 359349)
16:50: hrnq0555e.dll (ID = 359349)
16:50: Starting Memory Sweep
16:51: Detected running Thread: C:\WINDOWS\system32\stcbase.dll (ID = 83)
16:51: Detected running Thread: C:\WINDOWS\system32\hrnq0555e.dll (ID = 83)
16:52: Memory Sweep Complete, Elapsed Time: 00:01:16
16:52: Starting Registry Sweep
16:52: Found Adware: surf accuracy
16:52: HKLM\software\microsoft\windows\currentversion\uninstall\sacc\ (1 subtraces) (ID = 203070)
16:52: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\shareddlls\ (6 subtraces) (ID = 359347)
16:52: Registry Sweep Complete, Elapsed Time:00:00:07
16:52: Starting Cookie Sweep
16:52: Cookie Sweep Complete, Elapsed Time: 00:00:00
16:52: Starting File Sweep
16:52: c:\programme\surfaccuracy (2 subtraces) (ID = -2147478266)
16:54: Found Adware: sp2ms
16:54: sp2update00.vir (ID = 148759)
16:54: msresearch.vir (ID = 148760)
16:54: msresearch.vir00 (ID = 148760)
16:57: File Sweep Complete, Elapsed Time: 00:04:51
16:57: Full Sweep has completed. Elapsed time 00:06:19
16:57: Traces Found: 19
17:01: Removal process initiated
17:02: Quarantining All Traces: icannnews
17:02: icannnews is in use. It will be removed on reboot.
17:02: hrnq0555e.dll is in use. It will be removed on reboot.
17:02: C:\WINDOWS\system32\stcbase.dll is in use. It will be removed on reboot.
17:02: C:\WINDOWS\system32\hrnq0555e.dll is in use. It will be removed on reboot.
17:02: Quarantining All Traces: sp2ms
17:02: Quarantining All Traces: surf accuracy
17:02: Warning: Launched explorer.exe
17:02: Warning: Quarantine process could not restart Explorer.
17:02: Preparing to restart your computer. Please wait...
17:02: Removal process completed. Elapsed time 00:00:33

Lasse gerade noch E-scan laufen

Das ist das Ergebniss.

Sat Nov 12 17:49:00 2005 => ***** Scanning complete. *****

Sat Nov 12 17:49:00 2005 => Total Objects Scanned: 56897
Sat Nov 12 17:49:00 2005 => Total Virus(es) Found: 58
Sat Nov 12 17:49:00 2005 => Total Disinfected Files: 0
Sat Nov 12 17:49:00 2005 => Total Files Renamed: 0
Sat Nov 12 17:49:00 2005 => Total Deleted Objects: 0
Sat Nov 12 17:49:00 2005 => Total Errors: 228
Sat Nov 12 17:49:00 2005 => Time Elapsed: 00:30:19
Sat Nov 12 17:49:00 2005 => Virus Database Date: 2005/11/12
Sat Nov 12 17:49:00 2005 => Virus Database Count: 159395

Sat Nov 12 17:49:00 2005 => Scan Completed.

Wie interpretiere ich 58 Virus
Was denkst Du.

Pop ups scheinen weg zu sein. Bis jetzt jedenfalls. Was war es denn jetzt?


Übrigens dies hat mein Antivir während des E-scans gefunden 12.11.2005,17:33:15 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.IstBar.IT!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001690.EXE
[INFO] Die Datei wurde gelöscht!
12.11.2005,17:33:46 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.NH.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001693.EXE
[INFO] Die Datei wurde gelöscht!
12.11.2005,17:33:51 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Adload.j.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001697.EXE
[INFO] Die Datei wurde gelöscht!
12.11.2005,17:33:54 [WARNUNG] Ist das Trojanische Pferd TR/IstBar.BZ.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001700.EXE
[INFO] Die Datei wurde gelöscht!
12.11.2005,17:33:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.acx!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001702.EXE
[INFO] Die Datei wurde gelöscht!
12.11.2005,17:36:00 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.buy.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0003070.EXE


Vorab schon mal ein dickes fettes dankeschön

(hoffentlich nicht zu früh ;-) )

Grüßle Michelangelo
Dieser Beitrag wurde am 12.11.2005 um 18:09 Uhr von michelangelo editiert.
Seitenanfang Seitenende
12.11.2005, 18:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 da war/ist mehr drauf, als ich annahm......

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung + Neustart wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

loeschen:
c:\programme\surfaccuracy

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 15:34
Member

Themenstarter

Beiträge: 23
#11 Hi Sabina

War fleisig

Systemwiederherstellung O.K
Surfaccuracy --> hab ich nicht gefunden

Die 4 logs

Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896

Verzeichnis von C:\WINDOWS\system32

13.11.2005 14:53 393.582 perfh009.dat
13.11.2005 14:53 61.870 perfc009.dat
13.11.2005 14:53 409.682 perfh007.dat
13.11.2005 14:53 74.136 perfc007.dat
13.11.2005 14:53 2.480 PerfStringBackup.INI
11.11.2005 20:57 23.392 nscompat.tlb
11.11.2005 20:57 16.832 amcompat.tlb
11.11.2005 20:12 57 mapisvc.inf
11.11.2005 19:06 4.212 zllictbl.dat
11.11.2005 17:59 1.158 wpa.dbl
04.11.2005 16:30 100 LuResult.txt
04.11.2005 11:19 180.240 FNTCACHE.DAT
03.11.2005 16:48 139.330 odyGina.dll
03.11.2005 16:48 532.558 odGinaLibrary.dll
03.11.2005 16:48 106.496 odyEvent.dll
02.11.2005 19:28 36.775 compare.dat
02.11.2005 19:27 320 $winnt$.inf
24.10.2005 12:19 492.544 WRLogonNtf.dll
24.10.2005 12:19 8.192 ssiefr.EXE
24.10.2005 12:19 17.920 wrlzma.dll
21.10.2005 15:50 102.912 islzma.dll
07.09.2005 14:56 333 $ncsp$.inf
07.09.2005 14:38 0 h323log.txt
07.09.2005 13:44 2.951 CONFIG.NT
07.09.2005 13:42 488 WindowsLogon.manifest
07.09.2005 13:42 488 logonui.exe.manifest
07.09.2005 13:42 749 wuaucpl.cpl.manifest
07.09.2005 13:42 749 nwc.cpl.manifest
07.09.2005 13:42 749 ncpa.cpl.manifest
07.09.2005 13:42 749 sapi.cpl.manifest
07.09.2005 13:42 749 cdplayer.exe.manifest
07.09.2005 13:41 21.740 emptyregdb.dat
23.08.2005 14:41 36.864 UnAudioNT.dll
01.08.2005 11:44 73.728 Oemdspif.dll
01.08.2005 11:44 648.000 ativvaxx.dll
01.08.2005 11:44 24.064 ativcoxx.dll
01.08.2005 11:44 17.408 atitvo32.dll
01.08.2005 11:44 94.208 atipdlxx.dll
01.08.2005 11:44 4.857.856 atioglxx.dll
01.08.2005 11:44 6.684.672 atioglx1.dll
01.08.2005 11:44 143.360 atikvmag.dll
01.08.2005 11:44 307.200 atiiiexx.dll
01.08.2005 11:44 95.617 atiicdxx.dat
01.08.2005 11:44 5.396 atifglpf.xml
01.08.2005 11:44 241.664 ATIDEMGR.dll
01.08.2005 11:44 53.248 ATIDDC.DLL
01.08.2005 11:44 2.360.736 ati3duag.dll
01.08.2005 11:44 25.088 Ati2mdxx.exe
01.08.2005 11:44 376.832 ati2evxx.exe

Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896

Verzeichnis von C:\WINDOWS

13.11.2005 14:48 345 OEWABLog.txt
13.11.2005 14:48 248 wmsetup.log
13.11.2005 14:48 0 0.log
13.11.2005 14:48 2.048 bootstat.dat
13.11.2005 10:49 7.702 SchedLgU.Txt
13.11.2005 10:49 161 WindowsUpdate.log
13.11.2005 10:49 13.872 ModemLog_Motorola SM56 Data Fax Modem.txt
12.11.2005 16:44 589 win.ini
11.11.2005 23:52 3.316 mozver.dat
11.11.2005 20:57 316.640 WMSysPr9.prx
08.11.2005 19:21 69 NeroDigital.ini
04.11.2005 20:04 335 mozregistry.dat
04.11.2005 16:06 0 msresearch1.dat
04.11.2005 16:05 40 teller2.chk
04.11.2005 16:05 38 drsmartload.dat
03.11.2005 16:54 0 nsreg.dat

03.11.2005 16:48 112 init.ini
03.11.2005 16:40 100.489 UninstallFirefox.exe
03.11.2005 13:30 400 ODBC.INI
24.10.2005 12:19 468.480 WRUninstall.dll
21.10.2005 15:55 155.648 ssleay32.dll
21.10.2005 15:55 684.032 libeay32.dll
07.09.2005 14:59 8.192 REGLOCS.OLD
07.09.2005 14:56 61 smscfg.ini
07.09.2005 14:45 676.296 SIGVERIF.TXT
07.09.2005 14:35 231 system.ini
07.09.2005 14:23 197.043 orun32.isu
07.09.2005 14:23 849 orun32.ini
07.09.2005 13:44 0 control.ini
07.09.2005 13:44 4.161 ODBCINST.INI
07.09.2005 13:42 749 WindowsShell.Manifest
07.09.2005 13:41 36 vb.ini
07.09.2005 13:41 37 vbaddin.ini
07.09.2005 13:40 0 T30DebugLogFile.txt
01.08.2005 07:59 65.536 sm56spn.dll
01.08.2005 07:59 49.152 sm56jpn.dll
01.08.2005 07:59 65.536 sm56itl.dll
01.08.2005 07:59 544.768 sm56hlpr.exe
01.08.2005 07:59 65.536 sm56ger.dll
01.08.2005 07:59 65.536 sm56fra.dll
01.08.2005 07:59 65.536 sm56eng.dll
01.08.2005 07:59 45.056 sm56cht.dll
01.08.2005 07:59 45.056 sm56chs.dll
01.08.2005 07:59 65.536 sm56brz.dll
01.08.2005 07:36 2.359.350 fsc_swans.bmp
27.05.2005 00:22 10.752 hh.exe
07.04.2005 19:46 1.035.264 explorer.exe
10.03.2005 19:02 114.828 UNNeroVision.cfg
10.03.2005 19:02 24.014 UNNeroBurnRights.cfg
17.02.2005 12:21 2.682.880 UNNeroVision.exe
20.01.2005 13:29 2.658.304 UNNeroBurnRights.exe
30.11.2004 18:14 67.990 UNNVEContent.cfg
13.08.2004 12:33 1.208 mgxoschk.ini
04.08.2004 13:00 25.600 twunk_32.exe
04.08.2004 13:00 1.405 msdfmap.ini
04.08.2004 13:00 49.680 twunk_16.exe
04.08.2004 13:00 50.688 twain_32.dll
04.08.2004 13:00 15.872 TASKMAN.EXE
04.08.2004 13:00 70.144 NOTEPAD.EXE
04.08.2004 13:00 94.800 twain.dll
04.08.2004 13:00 82.944 clock.avi
04.08.2004 13:00 2 desktop.ini
04.08.2004 13:00 153.600 regedit.exe
04.08.2004 13:00 18.944 vmmreg32.dll
04.08.2004 13:00 153.600 R.COM
04.08.2004 13:00 153.600 REGEDIT.COM
04.08.2004 13:00 80 explorer.scf
04.08.2004 13:00 257.568 winhelp.exe
04.08.2004 13:00 288.768 winhlp32.exe
04.08.2004 13:00 48.680 winnt.bmp
04.08.2004 13:00 48.680 winnt256.bmp
04.08.2004 13:00 34.818 wmprfDEU.prx
04.08.2004 13:00 707 _default.pif
14.05.2004 17:12 1.916.928 UNNVEContent.exe
17.12.2003 10:50 19.968 LOGI_MWX.EXE
17.11.1998 12:44 328.704 IsUn0407.exe
76 Datei(en) 16.489.837 Bytes
0 Verzeichnis(se), 72.159.969.280 Bytes frei

Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896

Verzeichnis von C:\

13.11.2005 15:20 0 sys.txt
13.11.2005 15:19 4.039 system.txt
13.11.2005 15:19 126 systemtemp.txt
13.11.2005 15:18 92.020 system32.txt
13.11.2005 14:47 1.073.139.712 hiberfil.sys
13.11.2005 14:47 1.610.612.736 pagefile.sys
12.11.2005 17:49 0 23990098.$$$
12.11.2005 17:49 6 AVPCallback.log
12.11.2005 13:56 18 lo2.txt
12.11.2005 13:53 72 vx2logs.txt
11.11.2005 23:10 11.856 CLDMA.LOG
02.11.2005 19:28 27 expand.txt
02.11.2005 19:27 211 boot.ini
07.09.2005 14:34 217 via.log
07.09.2005 14:29 185 ati.log
07.09.2005 14:10 251.712 ntldr
07.09.2005 13:44 0 MSDOS.SYS
07.09.2005 13:44 0 IO.SYS
07.09.2005 13:44 0 AUTOEXEC.BAT
07.09.2005 13:44 0 CONFIG.SYS
07.09.2005 11:00 18.291 Prodlog.txt
07.09.2005 11:00 1.273 868000431573.dat
11.10.2004 06:18 19 LANG.TXT
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 2 oem.tag
04.08.2004 13:00 4.952 bootfont.bin
13.03.2002 13:16 11 Language.txt
27 Datei(en) 2.684.185.049 Bytes
0 Verzeichnis(se), 72.159.969.280 Bytes frei

Ewido scan war auch erfolgreich. Anbei die Reports

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:04:40, 13.11.2005
+ Report-Checksumme: B09A2289

+ Scanergebnis:

C:\!KillBox\guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/afitvo32.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/akl.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/dnr8019ue.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/fplm0331e.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/gekrsrc.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/irn0l55m1.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/kvdcz1.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/mvj6l91s1.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/n28o0cl3efq.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/uudmxfrm.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/vbmdbg.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wanetmgr.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wgfeman.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wistream.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/i2600cjmefoa0.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/lucalspl.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wu2_32.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/myc71u.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wfsdmoe2.dll -> Spyware.Look2Me : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Mozilla\Firefox\Profiles\5abkeu3m.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Mozilla\Firefox\Profiles\5abkeu3m.default\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup
C:\WINDOWS\system32\m246lchs1f46.dll -> Spyware.Look2Me : Gesäubert mit Backup


::Report Ende

---------------------------------------------------------
ewido security suite - Verbindungs Report
---------------------------------------------------------

+ Erstellt am: 15:05:35, 13.11.2005
+ Report-Checksumme: D2F05AD1

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:18350 0.0.0.0:0 LISTENING
TCP 0.0.0.0:50284 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 127.0.0.1:18350 ESTABLISHED
TCP 127.0.0.1:12346 0.0.0.0:0 LISTENING
TCP 127.0.0.1:18350 127.0.0.1:1031 ESTABLISHED
UDP 0.0.0.0:445
UDP 0.0.0.0:500
UDP 0.0.0.0:4500
UDP 0.0.0.0:50024
UDP 0.0.0.0:50331
UDP 0.0.0.0:50902
UDP 0.0.0.0:53182
UDP 0.0.0.0:59894
UDP 0.0.0.0:63052
UDP 127.0.0.1:123
UDP 127.0.0.1:1025
UDP 127.0.0.1:1900

So das wars

Danke Dir für Deine Hilfe

Ist da noch was im argen?
Was denkst Du

Grüße Michelangelo
Seitenanfang Seitenende
13.11.2005, 17:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12
loesche mit der Killbox:


C:\WINDOWS\mozregistry.dat
C:\WINDOWS\msresearch1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\drsmartload.dat

das kann ich nicht einordnen:versuche mal rauszubekommen, wozu das gehoert

C:\WINDOWS\system32\odyGina.dll
C:\WINDOWS\system32\odGinaLibrary.dll
C:\WINDOWS\system32\odyEvent.dll
C:\WINDOWS\system32\compare.dat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.11.2005, 18:53
Member

Themenstarter

Beiträge: 23
#13 Hi Sabina

Danke für die Tipps

C:\WINDOWS\mozregistry.dat
C:\WINDOWS\msresearch1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\drsmartload.dat

Habe ich gelöscht


C:\WINDOWS\system32\odyGina.dll --> Odyseey GINA Library
C:\WINDOWS\system32\odGinaLibrary.dll --> Odyseey Logon helper
C:\WINDOWS\system32\odyEvent.dll --> Odyseey Gina Hook

Dieses Programme sind von Funk Software Inc.

Gehören wohl zu meinem WLan Programm.

Compare.Dat ist eine genaue Beschreibung meiner Installierten Hard und Software als ich mein Notebook zum ersten mal eingeschaltet habe.

Da stellt sich mir die Frage wo ich denn eigentlich das ganze Zeug her habe.
Habe nur ein wenig mit Modem rumgesurft und schon habe ich tonnenweise Zeug auf dem Notebook. Kann davon beim Kauf schon was drauf gewesen sein?

War es das oder rätst Du mir zu einem weitern check ?

Grüße Michelangelo
Seitenanfang Seitenende
15.11.2005, 01:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 buegel mal mit dem Kaspersky drueber und poste den scanreport;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2005, 23:55
Member

Themenstarter

Beiträge: 23
#15 Hi Sabina

Der Kapersky Scan war absolut sauber.
Sieht so aus als wäre jetzt alles O.K
Großes dickes extra Sonderlob.

Ok habe das was Ihr so einem ratet an bzw abgestellt. (Active X, eingeschränkter Benutzer, Virenscanner, Firewall usw.)

Was fehlt noch zu einem sicheren System ?

Ansonsten sieht alles prima aus.

Womöglich wirst Du mir noch fehlen ;-)

Grüße Michelangelo
Seitenanfang Seitenende