Home » Viren, Trojaner & Malware Forum » Überflüssige Prozesse Im Task Manager? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Überflüssige Prozesse Im Task Manager?

22.12.2004, 08:00

Maschiene

Member

Beiträge: 12

#1 HALLO,

ICH HABE DAS PROBLEM, WENN ICH MEINEN RECHNER HOCHFAHRE P4 2,6 GZ WINDOWS XP DANN NACH UNGEFÄHR 2 MINUTEN GEHT PLÖTZLICH FÜR BESTIMMT 3-4 min GAR NICHTS MEHR ER LÄDT ERS ALLE ANWENDUNGEN IN DIE TASKLEISTE UND SETZT DANN VÖLLIG AUS, ICH KANN DANN NUR NOCH DIE DESKTOPICONS ANKLICKEN ABER IN DER UNTEREN MENÜLEISTE TUT SICH GAR NICHTS ???????HILFE???

VIELLEICHT KANN MIR JEMAND HILFESTELLUNG GEBEN??

HIER MEINE AKTUELLEN PROZESSE AUS DEM TASK MANAGER:

LOGFILE SIEHE UNTEN

So das wars!!

Wäre echt nett wenn mir jemand Hilfestellung geben könnte!
Ich reinige mein sytem regelmässig mit antivir, Ad-aware, und Spybot!!!!

Danke

Dieser Beitrag wurde am 24.12.2004 um 11:53 Uhr von Maschiene editiert.

22.12.2004, 08:37

asdrubael

Member

Beiträge: 3306

#2 Also erstens wird hier bitte nicht GESCHRIEN !!!
Bitte poste mal einen Hijackthislog:
http://board.protecus.de/t9391.htm

Namen sind nämlich leider wie Schall und Rauch. Jeder Wurm kann sich nennen wie er lustig ist und der Task Manager zeigt nicht an ob es sich bei der exe um das Original handelt oder um eine Fälschung die in einem anderen Verzeichnis liegt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

Dieser Beitrag wurde am 22.12.2004 um 08:37 Uhr von asdrubael editiert.

22.12.2004, 08:53

Maschiene

Member

Themenstarter

Beiträge: 12

#3 sorry tut mir leid für die rumschreierei bin noch nicht lange mit dabei!
hier das logfile:

neues logfile siehe unten!!!!
danke

Dieser Beitrag wurde am 24.12.2004 um 11:52 Uhr von Maschiene editiert.

22.12.2004, 11:45

asdrubael

Member

Beiträge: 3306

#4 Dämlich da stand noch die alte Version drin...
Nimmt bitte die neuere Hijackthis-Version:
http://hijackthis.de/downloads/hijackthis_199.zip

Klick auf "Do a system scan and save a logfile".
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

22.12.2004, 15:37

Sabina

Ehrenmitglied

Beiträge: 29434

#5 Hallo@Maschiene

#öffne das HijackThis-->> Button "scan" -->>

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)---> installed by the FavoriteMan and SuperSpider parasites.

Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

Lade mwav.exe und scanne
ftp://mwti.matrix.lv/download/tools/

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 22.12.2004 um 15:38 Uhr von Sabina editiert.

24.12.2004, 11:51

Maschiene

Member

Themenstarter

Beiträge: 12

#6 hat bis jetzt nicht viel gebracht!

hier habe ich jetzt nochmal das neue gewünschte logfile:

Logfile of HijackThis v1.99.0
Scan saved at 02:15:05, on 24.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\systime.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\marco\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\cc condition zero\steam online\steam.exe" -silent
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C9D2731-4D47-4B2A-9C21-3B0A4B8D3823}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

wenn ich mein antivir /(upgedatet)/ komplett drüberlaufen lasse bringt er mir folgende meldungen:

1. C:\DOKUMENTE UND EINSTELLUNGEN\NAME\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\6BCFKBUR\124491[1].EXE

Enthält Signatur des Droppers DR/Dialers.1

2. C:\124491.EXE

Enthält Signatur des Droppers DR/Dialers.1

3. C:\WINDOWS\SYSTEM32\XDLDR24.EXE

Ist das Trojanische Pferd TR/Small.Dld.FO

wäre echt spitze wenn du mir hilfestellung zur vernichtung geben könntest, denn das wird langsam echt nervig mit der seuche.

danke euch!

24.12.2004, 14:01

Sabina

Ehrenmitglied

Beiträge: 29434

#7 Hallo@Maschiene

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Lade:
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip
http://forums.skads.org/index.php?showtopic=80
Es gibt zwei Dateien: (zip.exe und rem.bat) die MUSST du entpacken in:
C:\WINDOWS\system32\
Neustarten in den abgesicherten Modus
den abgesicherten modus http://www.tu-berlin.de/www/software/virus/savemode.shtml
im abgesicherten Modus:
klicke die : rem.bat ==> OK -->das Tool wird in DOS einen Scann machen
Neustarten in den Normalmodus.
unter C:\ sollte nun eine datei namens log.txt zu finden sein.
markiere den inhalt und füge ihn hier ein. (wenn du mit allem anderen fertig bist)
.........................................................................................................................................

Lade:
http://bilder.informationsarchiv.net/Nikitas_Tools/
#Killbox
#mwav.exe
lege diesen ordner c:\bases an
mache ein update, indem du die datei kavupd.exe startest (DOS-Modus)
noch nicht scannen.

#AboutBuster--->entpacken und updaten
Download here)
www.malwarebytes.biz/AboutBuster.zip

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net

O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll (file missing)
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe

O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx

PC neustarten

oeffne die Killbox:
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\systime.exe
C:\124491.EXE
C:\WINDOWS\Downloaded Program Files/loader2.ocx
C:\Programme\IEMenuExtension\tbextn.dll
C:\WINDOWS\SYSTEM32\XDLDR24.EXE

PC neustarten
in den abgesicherten modus http://www.tu-berlin.de/www/software/virus/savemode.shtml

#C:\Windows\Downloaded Programm Files\ -->löschen

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
Click:Temporäre Dateien, o.k

#Scanne mit dem Antivirus im abgesicherten Modus (!) (poste dann bitte das Scanlog)

#Scanne zweimal mit AboutBuster (poste mir dann das Scanlog)

öffne nun den explorer, gehe zum ordner c:\bases
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

und postest auch das neue Log vom HijackThis noch einmal.
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 24.12.2004 um 14:31 Uhr von Sabina editiert.

25.12.2004, 03:52

maschiene555

...neu hier

Beiträge: 7

#8 Hallo Sabina

so ich habs geschafft hier die ergebnisse:

Log.txt:
Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Antivirus logfile:
Ende des Suchlaufs: Freitag, 24. Dezember 2004 17:14
Benötigte Zeit: 35:50 min

3672 Verzeichnisse wurden durchsucht
40898 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
(falls du noch mehr brauchst sag bescheid, das ist ewig lang!)

Aboutbuster:
Scanned at: 17:21:35 on: 24.12.2004

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 21

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 21

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

Mwav log:
Fri Dec 24 18:43:49 2004 => ***** Checking for specific ITW Viruses *****
Fri Dec 24 18:43:49 2004 => Checking for Welchia Virus...
Fri Dec 24 18:43:49 2004 => Checking for LovGate Virus...
Fri Dec 24 18:43:49 2004 => Checking for CodeRed Virus...
Fri Dec 24 18:43:49 2004 => Checking for OpaServ Virus...
Fri Dec 24 18:43:49 2004 => Checking for Sobig.e Virus...
Fri Dec 24 18:43:49 2004 => Checking for Winupie Virus...
Fri Dec 24 18:43:49 2004 => Checking for Swen Virus...
Fri Dec 24 18:43:49 2004 => Checking for JS.Fortnight Virus...
Fri Dec 24 18:43:49 2004 => Checking for Novarg Virus...
Fri Dec 24 18:43:49 2004 => Checking for Pagabot Virus...
Fri Dec 24 18:43:49 2004 => Checking for Parite.b Virus...
Fri Dec 24 18:43:49 2004 => Checking for Parite.a Virus...

Fri Dec 24 18:43:49 2004 => ***** Scanning complete. *****

Fri Dec 24 18:43:49 2004 => Total Number of Files Scanned: 83261
Fri Dec 24 18:43:49 2004 => Total Number of Virus(es) Found: 12
Fri Dec 24 18:43:49 2004 => Total Number of Disinfected Files: 0
Fri Dec 24 18:43:49 2004 => Total Number of Files Renamed: 0
Fri Dec 24 18:43:49 2004 => Total Number of Deleted Files: 8
Fri Dec 24 18:43:49 2004 => Total Number of Errors: 1
Fri Dec 24 18:43:49 2004 => Time Elapsed: 01:19:45
Fri Dec 24 18:43:49 2004 => Virus Database Date: 2004/12/24
Fri Dec 24 18:43:49 2004 => Virus Database Count: 113692

Fri Dec 24 18:43:49 2004 => Scan Completed.

Highjack logfile neu:
Logfile of HijackThis v1.99.0
Scan saved at 23:58:22, on 24.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Download\Appz\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\cc condition zero\steam online\steam.exe" -silent
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

So ich danke dir mal recht herzlich bis hier!!

Ich bin jetzt auch die nervigen trojaner und dialer meldumgen los die ständig erscheinen

allerdings besteht das eigentliche problem immernoch
jedesmall c.a 3-4min nach dem bootvorgang setzt der rechner völig aus und läd an irgendeinem program rum?Ich kann dann für bestimmt 4-5 min nichts machen?

danke dir

Dieser Beitrag wurde am 25.12.2004 um 03:57 Uhr von maschiene555 editiert.

25.12.2004, 13:13

Sabina

Ehrenmitglied

Beiträge: 29434

#9 Hallo@maschiene555

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "clear.reg" auf dem Desktop speichern. (Save us)

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]

Fixe bitte mit dem HijackThis.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

Pc neustarten und gehe gleich in den abgesicherten Modus

Die Datei "clear.reg" auf dem Desktop doppelklicken.

mache bitte folgendes:
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

suche und loesche:
#Secure.html

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
c:\windows\system32\system32.dll
4.) PC neustarten -->wieder in den abgesicherten Modus

scanne
#CWShredder 1.59 (lade das, wenn du noch im Normalmodus bist)
http://www.chip.de/downloads/c_downloads_11353799.html

#Sphj.fix-->poste das ScanLog
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746

#Ad-aware SE Personal 1.05 Updated-->poste das ScanLog
http://fileforum.betanews.com/detail/965718306/1

dann scanne noch mal mit eSCan (im abgesicherten Modus)
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 25.12.2004 um 14:14 Uhr von Sabina editiert.

27.12.2004, 18:14

maschiene555

...neu hier

Beiträge: 7

#10 Hallo Sabina,

hier erstmal das Sphj.fix scanlog:

26.12.2004 23:34:54 SPhjFix started v1.07
26.12.2004 23:34:54 Stealth-String not found -> Programm terminated

da hat sich nicht viel getan als ich das programm gestartet habe?!

das ad aware scanlog

ich hoffe das dir der auszug reicht das ist nämlich komplett viel zu lang!!)

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 9
Objects found so far: 49

Deep scanning and examining files (C

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 49

Deep scanning and examining files (D

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 49

Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 49

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 49

23:45:26 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:08:41.172
Objects scanned:119105
Objects identified:21
Objects ignored:0
New critical objects:21

Die datei "secure.html" konnte ich über die suchmaschiene nicht finden!!

Alle "infected" zeilen aus dem escan log:

Fri Sep 24 23:46:39 2004 => Total Number of Disinfected Files: 0
Fri Dec 24 17:24:11 2004 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted.
Fri Dec 24 17:24:12 2004 => File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: File Deleted.
Fri Dec 24 17:24:14 2004 => File C:\WINDOWS\shch.exe infected by "TrojanDownloader.Win32.Delf.bf" Virus. Action Taken: File Deleted.
Fri Dec 24 17:24:15 2004 => File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: File Deleted.
Fri Dec 24 17:24:42 2004 => File C:\WINDOWS\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: File Deleted.
Fri Dec 24 17:31:02 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Dec 24 17:36:06 2004 => File C:\syslibie.dll infected by "TrojanClicker.Win32.Libie.a" Virus. Action Taken: File Deleted.
Fri Dec 24 17:42:09 2004 => File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
Fri Dec 24 17:42:26 2004 => File C:\WINDOWS\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: File Deleted.
Fri Dec 24 18:43:49 2004 => Total Number of Disinfected Files: 0
Mon Dec 27 00:16:41 2004 => Scanning File C:\Dokumente und Einstellungen\marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL2PK7EH\infected6xz[1].gif
Mon Dec 27 00:16:42 2004 => Scanning File C:\Dokumente und Einstellungen\marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AT038L0B\infected6xz[1].gif
Mon Dec 27 00:18:06 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Dec 27 01:29:39 2004 => Total Number of Disinfected Files: 0

So dass war alles was ich mit "infected" gefunden habe!!

Hier sicherheitshalber nochmal das hijack logfile aktuell den das problem mit dem 3-4 min aussetzten besteht immer noch!!
immer wenn sich mein icq am anfang hochlädt bleibt er hängen!!!!

Logfile of HijackThis v1.99.0
Scan saved at 18:13:10, on 27.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Appz\HIJACK\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\cc condition zero\steam online\steam.exe" -silent
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C9D2731-4D47-4B2A-9C21-3B0A4B8D3823}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

Danke dir

28.12.2004, 22:10

Sabina

Ehrenmitglied

Beiträge: 29434

#11 o ich habs geschafft hier die ergebnisse:

Log.txt:
Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Antivirus logfile:
Ende des Suchlaufs: Freitag, 24. Dezember 2004 17:14
Benötigte Zeit: 35:50 min

3672 Verzeichnisse wurden durchsucht
40898 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
(falls du noch mehr brauchst sag bescheid, das ist ewig lang!)

Aboutbuster:
Scanned at: 17:21:35 on: 24.12.2004

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 21

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 21

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

Mwav log:
Fri Dec 24 18:43:49 2004 => ***** Checking for specific ITW Viruses *****
Fri Dec 24 18:43:49 2004 => Checking for Welchia Virus...
Fri Dec 24 18:43:49 2004 => Checking for LovGate Virus...
Fri Dec 24 18:43:49 2004 => Checking for CodeRed Virus...
Fri Dec 24 18:43:49 2004 => Checking for OpaServ Virus...
Fri Dec 24 18:43:49 2004 => Checking for Sobig.e Virus...
Fri Dec 24 18:43:49 2004 => Checking for Winupie Virus...
Fri Dec 24 18:43:49 2004 => Checking for Swen Virus...
Fri Dec 24 18:43:49 2004 => Checking for JS.Fortnight Virus...
Fri Dec 24 18:43:49 2004 => Checking for Novarg Virus...
Fri Dec 24 18:43:49 2004 => Checking for Pagabot Virus...
Fri Dec 24 18:43:49 2004 => Checking for Parite.b Virus...
Fri Dec 24 18:43:49 2004 => Checking for Parite.a Virus...

Fri Dec 24 18:43:49 2004 => ***** Scanning complete. *****

Fri Dec 24 18:43:49 2004 => Total Number of Files Scanned: 83261
Fri Dec 24 18:43:49 2004 => Total Number of Virus(es) Found: 12
Fri Dec 24 18:43:49 2004 => Total Number of Disinfected Files: 0
Fri Dec 24 18:43:49 2004 => Total Number of Files Renamed: 0
Fri Dec 24 18:43:49 2004 => Total Number of Deleted Files: 8
Fri Dec 24 18:43:49 2004 => Total Number of Errors: 1
Fri Dec 24 18:43:49 2004 => Time Elapsed: 01:19:45
Fri Dec 24 18:43:49 2004 => Virus Database Date: 2004/12/24
Fri Dec 24 18:43:49 2004 => Virus Database Count: 113692

Fri Dec 24 18:43:49 2004 => Scan Completed.

Highjack logfile neu:
Logfile of HijackThis v1.99.0
Scan saved at 23:58:22, on 24.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Download\Appz\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\cc condition zero\steam online\steam.exe" -silent
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

So ich danke dir mal recht herzlich bis hier!!

Ich bin jetzt auch die nervigen trojaner und dialer meldungen los die ständig erscheinen (antivir)

allerdings besteht das eigentliche problem immernoch
jedesmall c.a 3-4min nach dem bootvorgang setzt der rechner völig aus und läd an irgendeinem program rum?Ich kann dann für bestimmt 4-5 min nichts machen?
__________
MfG Sabina

rund um die PC-Sicherheit

28.12.2004, 22:20

Sabina

Ehrenmitglied

Beiträge: 29434

#12 Hallo@maschiene555

Lade und scanne:
HSRemove.exe
http://www.hsremove.com/

1.Update Antivirus auf den neusten Stand: !!!

2.Start<Ausfuehren schreibe rein: cmd
dann kopiere in das DOS-Fenster:

del c:\windows\system32\system32.dll
klicke "enter"

del c:\windows\system32\wintime.exe
"enter

del c:\windows\system32\dktime.exe
"enter"

del c:\windows\system32\systime.exe
klicke "enter"
--------------------------------------------------------------------------------------
3.Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "clear.reg" auf dem Desktop speichern. (Save us)

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]

4.Fixe mit dem HijackTHIS:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

5. PC neustart und in den abgesicherten Modus gehen

6.Die Datei "clear.reg" auf dem Desktop doppelklicken.

#C:\Windows\Downloaded Programm Files\ -->löschen

7.scanne noch mal mit dem Antivirus (aber update ihn bitte vorher , wenn du noch im Normalmodus bist) und mit dem eSCan (im Prinzip duerfte das Tool nun nichts mehr anzeigen, falls ja, suche und loesche die infizierten Dateien manuell)
---------------------------------------------------------------------------------------------
8.Lade:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

9.neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

10.neuen Log vom HijackThis...und bitte nur ins Forum
---------------------------------------------------------------------------------
11.und ich brauch das kompletten Scan-Log von AdAware !!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 28.12.2004 um 23:16 Uhr von Sabina editiert.

01.01.2005, 17:10

maschiene555

...neu hier

Beiträge: 7

#13 HALLO SABINA,

1. ich habe vergeblich versucht die von dir angegebenen dateinen mit dem befaehl del unter der eingabebeaufforderung (cmd) zu löschen aber keine der dateien konnte gefunden werden immer woeder der befeht:"angegebene datei konnte nicht gefunden werden"

2. HIGHJACKTHIS NEUES LOGFILE:

Logfile of HijackThis v1.99.0
Scan saved at 17:06:56, on 01.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Razer\razertra.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Razer\razerofa.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Appz\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\cc condition zero\steam online\steam.exe" -silent
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C9D2731-4D47-4B2A-9C21-3B0A4B8D3823}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

3. DEN KOMPLETTEN ADAWARE SCANLOG:

Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Samstag, 1. Januar 2005 16:43:05
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R24 29.12.2004
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Hijacker.TopConverting(TAC-Index:5):10 Referenzen insgesamt
MRU List(TAC-Index:0):26 Referenzen insgesamt
Possible Browser Hijack attempt(TAC-Index:3):2 Referenzen insgesamt
Tracking Cookie(TAC-Index:3):14 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : In Archiven scannen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Scanning als Hintergrundprozess ausführen (niedrige CPU-Belastung)
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen

01.01.2005 16:43:05 - Scanning wurde gestartet. (Benutzerdefinierter Modus)

Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 568
ThreadCreationTime : 01.01.2005 15:11:26
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 624
ThreadCreationTime : 01.01.2005 15:11:27
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 648
ThreadCreationTime : 01.01.2005 15:11:28
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 692
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 704
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 856
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 6.14.10.4110
ProductVersion : 6.14.10.4110.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 868
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 936
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1020
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1064
ThreadCreationTime : 01.01.2005 15:11:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1176
ThreadCreationTime : 01.01.2005 15:11:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1352
ThreadCreationTime : 01.01.2005 15:11:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1968
ThreadCreationTime : 01.01.2005 15:11:36
BasePriority : Normal

#:14 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1996
ThreadCreationTime : 01.01.2005 15:11:36
BasePriority : Normal

#:15 [cisvc.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2008
ThreadCreationTime : 01.01.2005 15:11:36
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Content Index service
InternalName : cisvc.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : cisvc.exe

#:16 [ctsvccda.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2036
ThreadCreationTime : 01.01.2005 15:11:36
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:17 [inetinfo.exe]
FilePath : C:\WINDOWS\system32\inetsrv\
ProcessID : 232
ThreadCreationTime : 01.01.2005 15:11:38
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Internet-Informationsdienste
CompanyName : Microsoft Corporation
FileDescription : Internet-Informationsdienste
InternalName : INETINFO.EXE
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : INETINFO.EXE

#:18 [msdtc.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 284
ThreadCreationTime : 01.01.2005 15:11:38
BasePriority : Normal
FileVersion : 2001.12.4414.258
ProductVersion : 03.01.00.4414
ProductName : Microsoft Distributed Transaction Coordinator
CompanyName : Microsoft Corporation
FileDescription : MS DTC console program
InternalName : MSDTC.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1995-1998
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows(TM) is a trademark of Microsoft Corporation

#:19 [tcpsvcs.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 336
ThreadCreationTime : 01.01.2005 15:11:46
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : TCP/IP Services Application
InternalName : TCPSVCS.EXE
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : TCPSVCS.EXE

#:20 [snmp.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 620
ThreadCreationTime : 01.01.2005 15:11:46
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : SNMP-Dienst
InternalName : snmp.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : snmp.exe

#:21 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 124
ThreadCreationTime : 01.01.2005 15:11:46
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:22 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1172
ThreadCreationTime : 01.01.2005 15:11:46
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:23 [mspmspsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1260
ThreadCreationTime : 01.01.2005 15:11:47
BasePriority : Normal
FileVersion : 7.00.00.1954
ProductVersion : 7.00.00.1954
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE

#:24 [mqsvc.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1764
ThreadCreationTime : 01.01.2005 15:11:47
BasePriority : Normal
FileVersion : 5.01.1108
ProductVersion : 5.01.1108
ProductName : Microsoft Message Queue
CompanyName : Microsoft Corporation
FileDescription : Message Queuing Service
LegalCopyright : Copyright (C) Microsoft Corporation. 1981-2000
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows NT(TM) is a trademark of Microsoft Corporation
OriginalFilename : MQSVC.EXE

#:25 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2312
ThreadCreationTime : 01.01.2005 15:11:47
BasePriority : Normal
FileVersion : 6.14.10.4110
ProductVersion : 6.14.10.4110.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:26 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 2392
ThreadCreationTime : 01.01.2005 15:11:47
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:27 [mqtgsvc.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2712
ThreadCreationTime : 01.01.2005 15:11:49
BasePriority : Normal
FileVersion : 5.01.1108
ProductVersion : 5.01.1108
ProductName : Microsoft Message Queue
CompanyName : Microsoft Corporation
FileDescription : Windows NT MSMQ Trigger Service
LegalCopyright : Copyright (C) Microsoft Corporation. 1981-2000
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows NT(TM) is a trademark of Microsoft Corporation
OriginalFilename : QMTGSVC.EXE

#:28 [ctsysvol.exe]
FilePath : C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\
ProcessID : 2780
ThreadCreationTime : 01.01.2005 15:11:49
BasePriority : Normal
FileVersion : 1.4.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Volume Control
CompanyName : Creative Technology Ltd
FileDescription : CTSysVol.exe
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002-2003. All rights reserved.
OriginalFilename : CTSysVol.exe

#:29 [ctdvddet.exe]
FilePath : C:\Programme\Creative\SBAudigy2ZS\DVDAudio\
ProcessID : 2788
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 1.0.3.0
ProductVersion : 1.0.3.0
ProductName : CTDVDDET
CompanyName : Creative Technology Ltd
FileDescription : CTDVDDET
InternalName : CTDVDDET
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002-2003. All rights reserved.
OriginalFilename : CTDVDDET.EXE

#:30 [cthelper.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2796
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 1, 0, 1, 2
ProductVersion : 1, 0, 1, 2
ProductName : CtHelper Application
CompanyName : Creative Technology Ltd
FileDescription : CtHelper Application
InternalName : CtHelper
LegalCopyright : Copyright (C) 2002-03
OriginalFilename : CtHelper.EXE

#:31 [icqlite.exe]
FilePath : D:\Anwendungen\ICQLite\
ProcessID : 2828
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 555
ProductVersion : 1, 0, 0
ProductName : ICQLite
CompanyName : ICQ Ltd.
FileDescription : ICQLite
InternalName : ICQ Lite
LegalCopyright : Copyright (C) 2002
OriginalFilename : ICQLite.exe

#:32 [atiptaxx.exe]
FilePath : C:\Programme\ATI Technologies\ATI Control Panel\
ProcessID : 2848
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 6.14.10.5134
ProductVersion : 6.14.10.5134
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2004 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:33 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 2856
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 0.1.0.1622
ProductVersion : 0.1.0.1622
ProductName : RealOne Player (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:34 [razertra.exe]
FilePath : C:\Programme\Razer\
ProcessID : 2884
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 4.0.0.3
ProductVersion : 4.0.0.3
ProductName : Razer Customizer Tray Application
CompanyName : Razer Inc.
FileDescription : Razer Customizer Tray Application
InternalName : razertra
LegalCopyright : Copyright © 2004 Razer Inc.
OriginalFilename : razertra.exe

#:35 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 2900
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal

#:36 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2908
ThreadCreationTime : 01.01.2005 15:11:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:37 [ctcmsgo.exe]
FilePath : C:\Programme\Creative\MediaSource\GO\
ProcessID : 2948
ThreadCreationTime : 01.01.2005 15:11:51
BasePriority : Normal
FileVersion : 2.0.5.0
ProductVersion : 2.0.0.0
ProductName : Creative MediaSource Go!
CompanyName : Creative Technology Ltd
FileDescription : Creative MediaSource Go!
InternalName : Creative MediaSource Go!
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002. All rights reserved.
OriginalFilename : CTCMSGo.exe

#:38 [rcman.exe]
FilePath : C:\Programme\Creative\MediaSource\RemoteControl\
ProcessID : 2956
ThreadCreationTime : 01.01.2005 15:11:51
BasePriority : Normal
FileVersion : 2.1.0.2
ProductVersion : 2.0.0.0
ProductName : Creative MediaSource 2 Remote Control System
CompanyName : Creative Technology Ltd
FileDescription : Remote Control Manager
InternalName : RcMan
LegalCopyright : Copyright (c) Creative Technology Ltd.,2003. All rights reserved.
OriginalFilename : RcMan.EXE

#:39 [razerofa.exe]
FilePath : C:\Programme\Razer\
ProcessID : 2992
ThreadCreationTime : 01.01.2005 15:11:51
BasePriority : Normal
FileVersion : 3.1.0.0
ProductVersion : 3.1.0.0
ProductName : Razer OFA
CompanyName : Razer Inc.
FileDescription : Razer OFA - On-the-Fly Sensitivity Adjustment
InternalName : RAZEROFA.EXE
LegalCopyright : Copyright © 2004 Razer Inc.
OriginalFilename : razerofa.exe

#:40 [razerhid.exe]
FilePath : C:\Programme\Razer\
ProcessID : 3012
ThreadCreationTime : 01.01.2005 15:11:51
BasePriority : Normal
FileVersion : 4.0.0.3
ProductVersion : 4.0.0.3
ProductName : Razer HID
CompanyName : Razer Inc.
FileDescription : Razer HID Helper
InternalName : RAZERHID.EXE
LegalCopyright : Copyright © 2004 Razer Inc.
OriginalFilename : razerhid.exe

#:41 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3588
ThreadCreationTime : 01.01.2005 15:11:55
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:42 [cidaemon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3716
ThreadCreationTime : 01.01.2005 15:19:15
BasePriority : Idle
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Indexing Service filter daemon
InternalName : cidaemon.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : cidaemon.exe

#:43 [ad-aware.exe]
FilePath : C:\Bases\adaware se personal\
ProcessID : 3064
ThreadCreationTime : 01.01.2005 15:31:43
BasePriority : Idle
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0

Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hijacker.TopConverting Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CLASSES_ROOT
Objekt : interface\{ace5b10b-92a3-4103-8583-3684bb09409f}

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CLASSES_ROOT
Objekt : interface\{ace5b10b-92a3-4103-8583-3684bb09409f}
Wert :

Hijacker.TopConverting Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CLASSES_ROOT
Objekt : interface\{4fe82ba0-9335-4d4e-8e98-76409a88f2c1}

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CLASSES_ROOT
Objekt : interface\{4fe82ba0-9335-4d4e-8e98-76409a88f2c1}
Wert :

Hijacker.TopConverting Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting
Wert : version

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting
Wert : partner

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting
Wert : id

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting
Wert : InstallDir

Hijacker.TopConverting Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\topconverting
Wert : arkanoid

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 10
Bisher gefundene Objekte: 10

Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wahrscheinlich liegt ein Sicherheitsvorfall in der vertrauenswürdigen Zone vor : xxxtoolbar.com

Possible Browser Hijack attempt Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Vulnerability
Kommentar : Wahrscheinlich liegt ein Sicherheitsvorfall in der vertrauenswürdigen Zone vor : xxxtoolbar.com
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com

Possible Browser Hijack attempt Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Vulnerability
Kommentar : Wahrscheinlich liegt ein Sicherheitsvorfall in der vertrauenswürdigen Zone vor : xxxtoolbar.com
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
Wert : *

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 2
Bisher gefundene Objekte: 12

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\search assistant\acmru
Beschreibung : list of recent search terms used with the search assistant

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Beschreibung : list of recently saved files, stored according to file extension

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Beschreibung : list of recent programs opened

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Beschreibung : list of recent documents opened

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\office\10.0\word\recent templates
Beschreibung : list of recent templates used by microsoft word

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\office\10.0\powerpoint\recent file list
Beschreibung : list of recent files used by microsoft powerpoint

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\mediaplayer\player\recentfilelist
Beschreibung : list of recently used files in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\realnetworks\realplayer\6.0\preferences
Beschreibung : list of recent skins in realplayer

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer

MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\microsoft management console\recent file list
Beschreibung : list of recent snap-ins used in the microsoft management console

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\ahead\nero - burning rom\recent file list
Beschreibung : list of recently used files in nero burning rom

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe reader

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\office\10.0\powerpoint\recent typeface list
Beschreibung : list of recently used typefaces in microsoft powerpoint

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d

MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist index loaded in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\realnetworks\realplayer\6.0\preferences
Beschreibung : list of recent clips in realplayer

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist loaded in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X

MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\winrar\dialogedithistory\extrpath
Beschreibung : winrar "extract-to" history

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-1979792683-839522115-1003\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk

MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\marco\recent
Beschreibung : list of recently opened documents

Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@doubleclick[2].txt
Kategorie : Data Miner
Kommentar : Hits:3
Wert : Cookie:marco@doubleclick.net/
Expires : 01.01.2008 16:19:18
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@hitbox[2].txt
Kategorie : Data Miner
Kommentar : Hits:10
Wert : Cookie:marco@hitbox.com/
Expires : 01.01.2006 16:19:54
LastSync : Hits:10
UseCount : 0
Hits : 10

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@as1.falkag[1].txt
Kategorie : Data Miner
Kommentar : Hits:5
Wert : Cookie:marco@as1.falkag.de/
Expires : 31.01.2005 16:19:20
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@ehg-idg.hitbox[1].txt
Kategorie : Data Miner
Kommentar : Hits:5
Wert : Cookie:marco@ehg-idg.hitbox.com/
Expires : 01.01.2006 16:19:54
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@2o7[3].txt
Kategorie : Data Miner
Kommentar : Hits:2
Wert : Cookie:marco@2o7.net/
Expires : 31.12.2009 16:12:48
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@2o7[2].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@2o7[2].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@adtech[2].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@adtech[2].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@as1.falkag[2].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@as1.falkag[2].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@atdmt[1].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@atdmt[1].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@centrport[1].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@centrport[1].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@doubleclick[1].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@doubleclick[1].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@mediaplex[1].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@mediaplex[1].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@servedby.netshelter[2].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@servedby.netshelter[2].txt

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : marco@versiontracker[1].txt
Kategorie : Data Miner
Kommentar :
Wert : C:\Dokumente und Einstellungen\marco\Cookies\marco@versiontracker[1].txt

Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 14
Bisher gefundene Objekte: 52

Dateien werden gründlich gescannt und überprüft (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 52

Dateien werden gründlich gescannt und überprüft (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 52

Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 Einträge gescannt.
Neue kritische Objekte:0
Bisher gefundene Objekte: 52

Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 52

16:49:17 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:06:11.812
Gescannte Objekte:129797
Identifizierte Objekte:26
Ignorierte Objekte:0
Neue kritische Objekte:26

DANKE

Dieser Beitrag wurde am 01.01.2005 um 17:12 Uhr von maschiene555 editiert.

01.01.2005, 22:17

Sabina

Ehrenmitglied

Beiträge: 29434

#14 Hallo@maschiene555

Loesche das wieder:
HSRemove.exe

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
loesche:
\xxxtoolbar.com

Fixe mit dem HijackThis.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm

Neustarten

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
----------------------------------------------
Was ist das ????????????

C:\Programme\Razer\razerofa.exe
C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 01.01.2005 um 22:29 Uhr von Sabina editiert.

02.01.2005, 04:05

maschiene555

...neu hier

Beiträge: 7

#15 HALLO SABINA,
--------------------------------------------------------------
Was ist das ????????????

C:\Programme\Razer\razerofa.exe
C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe

Das ist meine Maus!!

http://www.razerzone.com/
--------------------------------------------------------------

1. habe das xxxtoolbar erfolgreich aus der registry gelöscht!
2. habe hsremove gelöscht
3. habe hsremove gefixt
4. Neu gestartet und mit dem clearprog 1.4.1 Final nochmal alles gesäubert!!

Das Problem mit der langen Ladezeit nach dem Bootvorgang ist behoben!!!
Ich danke dir!!

-Mit welchem der von dir gezeigten Programme empfiehlt es sich regelmässig zu scannen/cleanen oder zu warten???
-Welche Personal Firewall könntest du mir empfehlen (im Moment habe ich die windows sp2 firewall aktiv) um mich in zukunft vielleicht etwas besser vor dem ganzen müll zu sichern?!?
-woran erkenne ich die schlechten einträge im Highjackthis-Logfile um sie in Zukunft selbst zu reinigen?

danke
mfg maschiene

Dieser Beitrag wurde am 02.01.2005 um 12:24 Uhr von maschiene555 editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2