tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.01.2005, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#256 Hallo@Beto

Also meiner Meinung nach ist das Log sauber ;)

Stell noch mal unter Internetoptionen eine Startseite ein und poste das Log noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2005, 17:05
Member

Beiträge: 31
#257 Hallo Sabina,
es existiert bereits eine Starseite. "MSN Home"
Seitenanfang Seitenende
26.01.2005, 10:21
Member

Beiträge: 16
#258 Hallo @ Sabina,

jetzt hat es doch wieder meinen Rechner erwischt. About Blank als Startseite.
Habe zuerst die Systemwiederherstellung deaktiviert, dann die Temporäry Internet Files und Dateien gelöscht.
Danach habe ich HijachThis laufen lassen und offensichtliche Probleme (about blank im Namen) gefixt. Aber trotzdem ist alles wieder da.
Es wäre super nett, wenn Du über das Log von Hijack this schauen würdest, und mir sonst noch sagst, was ich machen muss, um das wieder loszuwerden.

MfG,
badman

Logfile von Hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 10:17:08, on 26.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp1.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{1077E30C-2797-4F60-A71D-01B094CDDB6F}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A18966-86E5-4BA0-A7B8-C380BD78927D}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2BCB52-4E12-4A92-BD84-11909893333C}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31

Vielen Dank,

badman
Seitenanfang Seitenende
26.01.2005, 13:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#259 Hallo@badman

Oh je...das wird schwer.....

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases, dann muesste das Tool sich dort entpacken, den Scanner oeffnen, aber noch nicht scannen.
kavupd.exe suchen und anklicken (kann auch sein unter : Start<Ausfuehren< %temp% --> kavupd.exe-->(Update- in DOS) ausführen

1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
--------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp1.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{1077E30C-2797-4F60-A71D-01B094CDDB6F}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A18966-86E5-4BA0-A7B8-C380BD78927D}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2BCB52-4E12-4A92-BD84-11909893333C}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B3D869A-BB69-4C9E-B4BA-97A667C623CA}: NameServer = 69.50.188.180,195.225.176.31

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4) starte die datei rem.bat, scannen lassen.

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

danach kopierst du den kompletten Pfad der Malware in die Killbox und loeschst sie.

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

zum Beispiel:
C:\WINDOWS\system32\iesp1.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

nach dem Neubooten scannst die wieder mit escan, bis alles sauber ist (wenn was gefunden wird, immer mit der Killbox loeschen)

Wenn das fertig ist:

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Lade-->updaten-->scannen (FULLSCAN) --> PC neustarten--> noch einmal scannen--> poste as Log vom Scan

6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.
7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log
HijackThis
http://www.downloads.subratam.org/hijackthis.zip

und poste es mit der log.txt von rem.

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.01.2005 um 13:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.01.2005, 15:27
Member

Beiträge: 31
#260 Hallo Sabina,
ich bin dir sehr dankbar (muinto Obrigado) für deine Hilfe. Du hast das echt voll drauf, Hut ab.
Aber eine Frage habe ich noch. Mein Rechner scheint ja im moment ziemlich sauber zu sein, habe aber immer noch den eindruck als lief der nicht so wie früher. Ich spiele schon seit einiger Zeit mit dem Gedanken meine Festplatte zu löschen und nochmal neu zu Formatieren. Was hälst du davon? Ist es unnötig oder würde es mir evt. helfen?

mfg Beto
Seitenanfang Seitenende
26.01.2005, 18:40
Member

Beiträge: 16
#261 Hallo @ Sabina,

ich habe mich hoffentlich einigermaßen an Deine Anweisungen gehalten. Die Startseite passt jetzt wieder, Spybot und Adaware finden nix und auch das Log von Hijack sieht eigentlich ganz gut aus.
Vielleicht wärst Du noch mal so nett, und würdest über die Logs schauen. Besteht Hoffnung?

MfG,

badman

Log von remv3:


Files Found.................
----------------------------------------
run_dos.dll

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

_________________________________________________________________

Log von Ad-aware:


Lavasoft Ad-aware Personal Build 6.181
Logfile created on :Mittwoch, 26. Januar 2005 18:28:55
Created with Ad-aware Personal, free for private use.
Using reference-file :01R298 20.04.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


26.01.2005 18:28:55 - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 26.01.2005 17:23:23
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:27
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:29
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:29
BasePriority : Normal
FileSize : 106 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Anwendung f
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Betriebssystem Microsoft
Created on : 23.03.2003 05:44:35
Last accessed : 26.01.2005 17:23:29
Last modified : 03.08.2004 22:58:12

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:29
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:18
Last accessed : 26.01.2005 17:23:29
Last modified : 03.08.2004 22:58:00

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:30
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:30
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 26.01.2005 17:23:30
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 26.01.2005 17:23:30
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 26.01.2005 17:23:31
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 1011 KB
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Betriebssystem Microsoft
Created on : 23.03.2003 05:44:12
Last accessed : 26.01.2005 17:24:57
Last modified : 03.08.2004 22:57:54

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 56 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:38
Last accessed : 26.01.2005 16:59:27
Last modified : 03.08.2004 22:58:16

#:13 [htpatch.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 28 KB
Created on : 22.03.2003 22:43:34
Last accessed : 26.01.2005 16:59:27
Last modified : 19.12.2002 15:40:24

#:14 [soundman.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 46 KB
FileVersion : 5.0.18
ProductVersion : 5.0.18
Copyright : Copyright (c) 2001-2003 Realtek Semiconductor Corp.
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
OriginalFilename : ALSMTray.exe
ProductName : Realtek Sound Manager
Created on : 22.03.2003 22:51:02
Last accessed : 26.01.2005 16:59:27
Last modified : 10.02.2003 07:59:48

#:15 [syntplpr.exe]
FilePath : C:\Programme\Synaptics\SynTP\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 124 KB
FileVersion : 7.2.10 09Jan03
ProductVersion : 7.2.10 09Jan03
Copyright : Copyright (C) Synaptics, Inc. 1996-2002
CompanyName : Synaptics, Inc.
FileDescription : TouchPad Driver Helper Application
InternalName : SynTPLpr
OriginalFilename : SynTPLpr.exe
ProductName : Progressive Touch
Created on : 14.03.2003 22:55:18
Last accessed : 26.01.2005 16:59:27
Last modified : 09.01.2003 10:46:18

#:16 [syntpenh.exe]
FilePath : C:\Programme\Synaptics\SynTP\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 568 KB
FileVersion : 7.2.10 09Jan03
ProductVersion : 7.2.10 09Jan03
Copyright : Copyright (C) Synaptics, Inc. 1996-2002
CompanyName : Synaptics, Inc.
FileDescription : Synaptics TouchPad Enhancements
InternalName : Scrolleroo
OriginalFilename : SynTPEnh.exe
ProductName : Progressive Touch
Created on : 14.03.2003 22:55:18
Last accessed : 26.01.2005 16:59:27
Last modified : 09.01.2003 10:45:36

#:17 [prismsta.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 209 KB
FileVersion : 2.01.01
ProductVersion : 2.01.01.0135
Copyright : Copyright
CompanyName : Intersil Americas Inc.
FileDescription : PRISM Status Tray Applet
InternalName : PRISMSTA.exe
OriginalFilename : PRISMSTA.exe
ProductName : PRISM Wireless LAN
Created on : 26.11.2002 11:29:30
Last accessed : 26.01.2005 17:23:32
Last modified : 26.11.2002 11:29:30

#:18 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 697 KB
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
Copyright : Copyright
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
OriginalFilename : zlclient.exe
ProductName : Zone Labs Client
Created on : 13.10.2004 11:20:05
Last accessed : 26.01.2005 17:23:32
Last modified : 22.09.2004 18:22:32

#:19 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 33 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausf
InternalName : rundll
OriginalFilename : RUNDLL.EXE
ProductName : Betriebssystem Microsoft
Created on : 23.03.2003 05:44:33
Last accessed : 26.01.2005 16:59:27
Last modified : 03.08.2004 22:58:12

#:20 [wkufind.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 28 KB
FileVersion : 7.00.0617.0
ProductVersion : 7.00.0617.0
Copyright : Copyright
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : WkUFind
OriginalFilename : WkUFind.exe
ProductName : Update Detection Module
Created on : 24.07.2002 17:43:46
Last accessed : 26.01.2005 16:59:27
Last modified : 24.07.2002 17:43:46

#:21 [pwrgui.exe]
FilePath : C:\Programme\Power Management\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 57 KB
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
Copyright : Copyright (C) 2003
FileDescription : PwrMng MFC Application
InternalName : PwrMng
OriginalFilename : PwrMng.EXE
ProductName : PwrMng Application
Created on : 08.05.2003 15:03:50
Last accessed : 26.01.2005 17:23:52
Last modified : 08.05.2003 15:03:50

#:22 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 124 KB
FileVersion : 6.28.00.02
ProductVersion : 6.28.00.02
Copyright : Copyright
CompanyName : H+BEDV Datentechnik GmbH
FileDescription : AntiVir Guard/XP Control Program
InternalName : AVGNT
OriginalFilename : AVGNT.EXE
ProductName : AntiVir Guard Control Program
Created on : 15.11.2004 11:58:26
Last accessed : 26.01.2005 17:23:33
Last modified : 15.11.2004 11:58:26

#:23 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:32
BasePriority : Normal
FileSize : 15 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 23.03.2003 05:44:54
Last accessed : 26.01.2005 16:59:27
Last modified : 03.08.2004 22:57:50

#:24 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ThreadCreationTime : 26.01.2005 17:23:38
BasePriority : Normal
FileSize : 236 KB
FileVersion : 6.29.00.03
ProductVersion : 6.29.00.03
Copyright : Copyright
CompanyName : H+BEDV Datentechnik GmbH
FileDescription : Antivirus Service for Windows XP/2000/NT
InternalName : NTGuard
OriginalFilename : Guard.exe
ProductName : Windows XP/2000/XP Guard Service
Created on : 07.12.2004 13:26:48
Last accessed : 26.01.2005 16:59:27
Last modified : 07.12.2004 13:26:48

#:25 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ThreadCreationTime : 26.01.2005 17:23:38
BasePriority : Normal
FileSize : 36 KB
FileVersion : 6.29.00.00
ProductVersion : 6.29.00.00
Copyright : Copyright
CompanyName : H+BEDV Datentechnik GmbH, Germany
FileDescription : AntiVir Software Update Service for Windows
InternalName : AntiVir Update Service
OriginalFilename : AVWUpSrv.exe
ProductName : AntiVir Update Service for Windows XP, 2000, NT
Created on : 07.12.2004 13:26:48
Last accessed : 26.01.2005 16:59:27
Last modified : 07.12.2004 13:26:48

#:26 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ThreadCreationTime : 26.01.2005 17:23:38
BasePriority : Normal
FileSize : 264 KB
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
Copyright : Copyright (C) Microsoft Corp. 1997-2000
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
OriginalFilename : mdm.exe
ProductName : Microsoft Development Environment
Created on : 23.02.2001 09:07:30
Last accessed : 26.01.2005 16:59:27
Last modified : 23.02.2001 09:07:30

#:27 [nvsvc32.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 26.01.2005 17:23:38
BasePriority : Normal
FileSize : 112 KB
FileVersion : 6.14.10.5406
ProductVersion : 6.14.10.5406
Copyright : (C) NVIDIA Corporation. All rights reserved.
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 54.06
InternalName : NVSVC
OriginalFilename : nvsvc32.exe
ProductName : NVIDIA Driver Helper Service, Version 54.06
Created on : 16.03.2003 11:25:23
Last accessed : 26.01.2005 16:59:27
Last modified : 03.06.2004 10:57:00

#:28 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 26.01.2005 17:23:41
BasePriority : Normal
FileSize : 14 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 23.03.2003 05:44:39
Last accessed : 26.01.2005 17:23:44
Last modified : 03.08.2004 22:58:16

#:29 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ThreadCreationTime : 26.01.2005 17:23:41
BasePriority : Normal
FileSize : 897 KB
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
Copyright : Copyright
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
OriginalFilename : vsmon.exe
ProductName : TrueVector Service
Created on : 13.10.2004 11:20:01
Last accessed : 26.01.2005 17:23:41
Last modified : 22.09.2004 18:21:42

#:30 [alg.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 26.01.2005 17:23:52
BasePriority : Normal
FileSize : 43 KB
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
OriginalFilename : ALG.exe
ProductName : Microsoft
Created on : 23.03.2003 05:43:51
Last accessed : 26.01.2005 17:23:52
Last modified : 03.08.2004 22:57:42

#:31 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ThreadCreationTime : 26.01.2005 17:28:45
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 21.01.2005 07:57:08
Last accessed : 26.01.2005 17:17:15
Last modified : 12.07.2003 20:00:20

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C;)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

18:30:49 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:01:53:744
Objects scanned :46499
Objects identified :0
Objects ignored :0
New objects :0


_________________________________________________________________

Log von Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 18:27:16, on 26.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
Seitenanfang Seitenende
26.01.2005, 19:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#262 Hallo@Badman

du solltest noch loeschen: C:\Windows\System32\run_dos.dll

Das Log ist sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.01.2005 um 19:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.01.2005, 19:58
Member

Beiträge: 16
#263 Hallo @ sabina,

vielen Dank für Deine schnelle Hilfe (mal wieder).
Die Datei run_dos.dll finde ich nicht.

Als ich vorhin reingegangen bin, kam ich nicht auf meine Startseite (Service Unavailable) und die Firewall von Service Pack 2 hat sich kurz gemeldet.
Aber jetzt gerade ging alles ohne Probleme.

Für alle Fälle hier noch mal das Logfile von Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 19:49:25, on 26.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\sethcd.exe
C:\WINDOWS\system32\tsmsetup.exe
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 69.50.188.180 195.225.176.31

_________________________________________________________________
Ist da noch alles in Ordnung?
Noch mal vielen Dank,

badman
Dieser Beitrag wurde am 26.01.2005 um 20:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.01.2005, 20:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#264 Badman

C:\DOKUME~1\Badman ??\LOKALE~1\TEMPOR~1\Content.IE5\ <---LEERE DIE ORDNER !!!!!!!!!!!!

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


-----------------------------------------------------------------------------------------

du wirst nach dem Fixen die Internetverbindung neu erstellen muessen

Fixe mit dem HijackThis:
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 69.50.188.180 195.225.176.31

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4) starte die datei rem.bat, scannen lassen.

Killbox:
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
Kopiere in die Killbox.

C:\WINDOWS\System32\msxmidi.exe
C:\WINDOWS\System32\nbtrstat.exe
C:\WINDOWS\System32\update.exe
C:\WINDOWS\System32\wowdbe.exe
C:\WINDOWS\System32\upncont.exe
C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\System32\hdbvz.dll
C:\WINDOWS\System32\hdzow.dll
C:\WINDOWS\System32\iesp1.dll
C:\WINDOWS\system32\rdspclips.exe
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\sethcd.exe
C:\WINDOWS\system32\tsmsetup.exe



5) gehe wieder in den Normalmodus

6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.
7) markiere den inhalt und füge ihn hier ein.

danach kopiere in die Killbox. die C:\Windws\System32\....dll , alle die
angegeben werden

Files Found.................
----------------------------------------
run_dos.dll oder eine /andere

Files Not deleted.................

und loesche sie.

erstelle ein aktuelles HijackThis log
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.01.2005 um 20:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.01.2005, 08:37
Member

Beiträge: 16
#265 Hallo @ Sabina,

ich habe die Schritte abgearbeitet, aber nur bis Schritt 5:

Das Log von remv3 sieht so aus:


Files Found.................
----------------------------------------
run_dos.dll

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished


Heißt das, ich soll jetzt die run_dos.dll (nicht gefunden) und die msi.dll löschen?

Das Log von Hijack sieht so aus:

Logfile of HijackThis v1.98.2
Scan saved at 08:30:56, on 27.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7C133D92-5916-44E6-BBE9-7213C2FAD65B} - C:\WINDOWS\system32\msbsf.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
_________________________________________________________________
Ach ja, obwohl ich wie nach Anleitung vorgegangen bin, brauchte ich nicht die Internetverbindung neu einstellen.
Heißt das was?

Was als nächstes?
MfG,
badman
Seitenanfang Seitenende
27.01.2005, 11:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#266 Fixe:mit dem HijackThis

O2 - BHO: (no name) - {7C133D92-5916-44E6-BBE9-7213C2FAD65B} - C:\WINDOWS\system32\msbsf.dll
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe

neusstarten

loesche mit der Killbox:

C:\WINDOWS\System32\msxmidi.exe
C:\WINDOWS\System32\nbtrstat.exe
C:\WINDOWS\System32\update.exe
C:\WINDOWS\System32\wowdbe.exe
C:\WINDOWS\System32\upncont.exe
C:\WINDOWS\System32\hdbvz.dll
C:\WINDOWS\System32\hdzow.dll
C:\WINDOWS\System32\iesp1.dll
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\sethcd.exe
C:\WINDOWS\system32\tsmsetup.exe

C:\WINDOWS\system32\msbsf.dll
C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\system32\rdspclips.exe


dann poste das Log noch mal
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.01.2005 um 11:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.01.2005, 21:48
Member

Beiträge: 16
#267 Hallo @ Sabina,

da hatte ich mich zu früh gefreut. Plötzlich war alles wie vorher. Also habe ich alle Schritte wiederholt (incl. dem letzten von Dir oben).

Meine Logs sehen jetzt so aus:

Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 21:46:53, on 27.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 69.50.176.156 195.225.176.31

_________________________________________________________________

017 sieht nicht gut aus, oder? Sonst noch was?

MfG,

Badman
Seitenanfang Seitenende
28.01.2005, 00:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#268 Hallo@badman

fixe mit dem HijackThis
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 69.50.176.156 195.225.176.31

neustarten

scanne noch mal mit dll-Compare und escan und poste, was noch gefunden wurde.+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2005, 13:53
Member

Beiträge: 16
#269 Hallo@Sabina,

Eintrag gefixt. Dll-Compare kenne ich nicht. Woher kriege ich das und wie geht das.

Escan findet das hier:

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File C:\Software\Sonst\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File D:\Driver\SIS_AGP_1.14\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File D:\System Volume Information\_restore{D9D99D50-1F81-4A54-B133-39600F75CD58}\RP2\A0018157.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.


Das Log von Hijack sieht so aus:

Logfile of HijackThis v1.98.2
Scan saved at 12:18:08, on 28.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)

_________________________________________________________________

MfG,
badman
Seitenanfang Seitenende
29.01.2005, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#270 Please download DllCompare from here

http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: