WORM_RBOT.ALF - im Virus Hilfe von der Protecus Community" />

"Home Search Assistent" und svapache.exe-->WORM_RBOT.ALF

#0
07.02.2005, 11:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 Hallo,

habe "Home Search Assistent" und "Search Extender" auf meinem PC. Ich bekomme diese Dinger natürlich nicht runter.

Wer kann mir helfen ?

Logfile of HijackThis v1.99.0
Scan saved at 19:48:32, on 05.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Kazaa\kazaa.exe
C:\WINDOWS\System32\svapache.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe"
O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BD] "C:\Dokumente und Einstellungen\Enzo\Desktop\FotoJPG.com"
O4 - HKCU\..\Run: [Enna] C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
O4 - HKCU\..\Run: [Rmqx] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [windllsys32.exe] C:\WINDOWS\System32\windllsys32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C20EB175-0DD0-4979-A994-1F0DBA69F627} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1032_EN.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.02.2005 um 11:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.02.2005, 11:31
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EALF&VSect=T
This worm arrives as WINLOGONS.EXE on target machines. It spreads by dropping a copy of itself as SVAPACHE.EXE in accessible network shares. If the said shares are inaccessible, it uses a hardcoded list of user names and passwords to gain access.

It may also spread by taking advantage of systems vulnerable to the following Windows exploits:

* The RPC/DCOM vulnerability, which allows an attacker to gain full access and execute any code on a target machine by sending a malformed packet to the DCOM service. It uses the RPC TCP port 135. More information on this vulnerability is found in Microsoft Security Bulletin MS03-026.

* The Windows LSASS vulnerability, which is a buffer overrun that allows remote code execution and enables a malicious user to gain full control of the affected system. This vulnerability is discussed in detail in Microsoft Bulletin MS04-011 and Trend Micro's Vulnerability Description for MS04-011.

«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivien


Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{47FE5D70-9AA2-40F1-9C6B-12A255F085EA}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das gleiche machst du mit.

{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}

ISEXEng

XPSP2 Firewall

SearchUpgrader

tapisys

Trickler

Rmqx

windllsys32.exe

0CAT YellowPages

alles posten bitte


#Gehe auf diese Seite: http://www.lavasofthelp.com/submit/
kopiere folgendes Submit)
Copy and paste the full filepaths below and hit "submit", one at a time:

C:\WINDOWS\System32\w?wexec.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\system32\xpsp2fw.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\Programme\Kazaa\kazaa.exe
C:\WINDOWS\System32\svapache.exe
C:\WINDOWS\System32\tss.exe
c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe
C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
C:\Programme\0CAT YellowPages\STIEbar.dll
C:\WINDOWS\System32\angelex.exe

____________________________________________________________________________-

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe"
O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe-->WORM_RBOT.ALF
O4 - HKCU\..\Run: [BD] "C:\Dokumente und Einstellungen\Enzo\Desktop\FotoJPG.com"
O4 - HKCU\..\Run: [Enna] C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
O4 - HKCU\..\Run: [Rmqx] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [windllsys32.exe] C:\WINDOWS\System32\windllsys32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
<und klick auf das rote Kreuz,

kopiere rein:
C:\WINDOWS\System32\windllsys32.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\system32\xpsp2fw.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\Programme\Kazaa\kazaa.exe
C:\WINDOWS\System32\svapache.exe
C:\WINDOWS\System32\tss.exe
c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe
C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
C:\Programme\0CAT YellowPages\STIEbar.dll
C:\WINDOWS\System32\angelex.exe

wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

Gehe in die Registry
Start<Ausfuehren<regedit

[HKEY_LOCAL_MACHINE] \SYSTEM\CurrentControlSet\Services\
loesche:
ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet001\Services\
loesche:
ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet002\Services\
loesche:
ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet003\Services\
loesche:
ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

Deinstalliere den Antivirus (free) und lade:
#Testversion "Antivirus Personal 5.0"

http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner von Kaspersky starten

Gehe wieder in den Normalmodus
_______________________________________________________________________

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


#RegSupreme:
http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch
problemlos umstellen, das Programm muss danach NICHT neu
gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer
Registry, diese kann natürlich ne weile dauern. Wenn ihr
aufgefordert werdet, einer Datei einen Namen zu vergeben, dann
macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit
wieder verwenden kann

dann poste das neue Log vom HijackThis


__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 11:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.02.2005, 21:57
...neu hier

Beiträge: 8
#3 Vielen Dank Sabina,

es hat alles geklappt bis auf folgendes Problem:

wenn ich im Internet bin, dann nach ca. 4-5 Min. kann ich keine Seite mehr aufrufen. Ich werde dann immer zu so einer doofen Seite 66.102.9.104 umgeleitet. Es handelt sich glaube ich um einen "notify dll hijacker" laut ad-ware.

Das ist mein allergrößtes Problem. Sitze schon seit 18 Stunden davor und drehe irgendwann auch ab. Kann es mir nicht erlauben, Win neu zu formatieren.

Logfile of HijackThis v1.99.0
Scan saved at 20:45:06, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

ich bekomme die beiden dinger (015) nicht weg.

würde mich sehr freuen, wenn mir jemand helfen kann. Danke im Voraus.

Gruß Enzo
Seitenanfang Seitenende
08.02.2005, 23:04
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Hallo@Enzo

Schade, dass du mir nicht die Registry Search Tool :-Eintreage
gepostet hast..ich haette das gern gesehen
Dein Log sieht sehr klein aus...hast du alles gepostet?????


1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


-----------------------------------------------------------------------------------------

PC neustarten--> poste das komplette Log, bitte
(und mache die WindowsUpdates...SP2) , falls du eine gueltige CD-Key hast, sonst ist dein System sehr schnell wieder infiziert.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.02.2005 um 23:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 00:02
...neu hier

Beiträge: 8
#5 Hallo Sabina,

ersteinmal vielen Dank. So sieht jetzt mein posting aus. Ich hab alles gepostet. Die merkwürdigen Dateien sind zwar weg, aber das Problem mit dem Internet, dass ich nach ca. 4-5 min keine Seite mehr aufrufen kann ist immer noch. Mir wird immer wenn ich den PC starte > IE about:blank angezeigt. Es will einfach nicht funktionieren.

Wenn du mir dabei helfen könntest, wäre ich Dir sehr, sehr dankbar. Weil ich sehe keinen Aussweg mehr.

Logfile of HijackThis v1.99.0
Scan saved at 22:54:28, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/

Gruß Enzo
Seitenanfang Seitenende
09.02.2005, 00:05
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 #Antivirus (free)--> poste das log vom Scann (scanne im abgesicherten Modus)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien


CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
1. Click "Check For Update"
(If an update isn't available, skip to step #4.)
2. Click "Click here to Download the upate".
3. When the new version has been downloaded, click "Save".
4. Click "Fix ->"
Log-->"make Report"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 00:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 01:44
...neu hier

Beiträge: 8
#7 Hallo Sabina,

hier der Report von CWShredder

**** Run Keys ****



**** Browser Helper Objects ****



**** IE Toolbars ****



**** IE Extensions ****



**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 www.igetnet.com
HOSTS: 127.0.0.1 code.ignphrases.com
HOSTS: 127.0.0.1 clear-search.com
HOSTS: 127.0.0.1 r1.clrsch.com
HOSTS: 127.0.0.1 sds.clrsch.com
HOSTS: 127.0.0.1 status.clrsch.com
HOSTS: 127.0.0.1 www.clrsch.com
HOSTS: 127.0.0.1 clr-sch.com
HOSTS: 127.0.0.1 sds-qckads.com
HOSTS: 127.0.0.1 status.qckads.com


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\SYSTEM32\blank.htm
Search Bar: http://www.google.com
Search Page: http://www.google.com


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Irda [IrDA]
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] DATAGRAM 4


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] C:\Programme\AVPersonal\AVGUARD.EXE
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[cisvc] C:\WINDOWS\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{74EEADE2-DB32-47F9-BE51-E8CD88DDDF89}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: []
SEARCH: [CustomizeSearch] http://www.ebay.de
SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
SEARCH: [SearchAssistant] http://www.google.com
SEARCH: [SearchAssistant] http://www.google.com
SEARCH: [CustomizeSearch] http://www.ebay.de
SEARCH: []


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\SYSTEM32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.ebay.de
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.google.com
IEOPT: [Check_Associations] No
IEOPT: [FullScreen] no
IEOPT: [Use FormSuggest] yes
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [Default_Search_URL] http://www.ebay.de
IEOPT: [BandRest] Never
IEOPT: [Search Bar_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
IEOPT: [Search Page_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
IEOPT: [Use Search Assistant] no
IEOPT: [SearchURL]
IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho
IEOPT: [conc] E ÙA://quickmetasearch.com/?said=acc0001_ho
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] yes
IEOPT: [ShowedCheckBrowser] Yes
IEOPT: [Search Bar] http://www.google.com
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.google.com
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.ebay.de
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [Search Bar] http://www.google.com
IEOPT: [AddClsReg]
IEOPT: [AddClsID]
IEOPT: [AddClsADtid]
IEOPT: [AddClsutid]
IEOPT: [AClsBnxt]
IEOPT: [BandRest] Never
IEOPT: [SearchURL]
IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho

Das Problem ist immer noch da, ich bin am verzweifeln. Ich glaube keiner kann mehr helfen.

gruß enzo
Seitenanfang Seitenende
09.02.2005, 11:27
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 Hallo@enzox

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
#Orginal Host Datei


dann gehe in die Registry

Start<Ausfuehren<regedit

HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

loesche mit rechtsklick:

SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/

IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho

schliesse die Registry

versuch es mal:
kopiere in die Killbox:
C:\WINDOWS\system32\xpsp2fw.exe
C:\WINDOWS\System32\windllsys32.exe
C:\WINDOWS\System32\smkey32.dll
C:\WINDOWS\System32\smrss.exe
C:\Programme\STLinks\STLinks.dll
C:\Programme\STHomePage\STHomePage.dll

wird da was angezeigt als vorhanden, also loeschbar?--> wenn ja, loeschen und PC neustarten
_______________________________________________________

AntiVir No viruses found (0.15 seconds taken)
Avast Win32;)edler-K-UPX (1.51 seconds taken)
BitDefender Win32.Worm.Dedler.H (0.34 seconds taken)
ClamAV No viruses found (0.42 seconds taken)
Dr.Web Win32.HLLW.Dedler (0.56 seconds taken)
F-Prot Antivirus W32/Dedler.AD (0.07 seconds taken)
Kaspersky Anti-Virus Net-Worm.Win32.Dedler.h (0.69 seconds taken)
mks_vir Worm.Dedler.H (0.26 seconds taken)
NOD32 Win32/Dedler.NAF (0.38 seconds taken)
Norman Virus Control Dedler.H (0.15 seconds taken)

dann deinstalliere den Antivirus wieder und lade:
#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

dann moechte ich auch das scanlog vom NOD32 -Scanner sehen sehen (du solltest im abgesicherten Modus scannen)
+ das neue Log vom CSWhredder.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 11:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 14:00
...neu hier

Beiträge: 8
#9 Hallo Sabina,

mein Internet funktionert wieder. Du hast mir sehr geholfen.

Herzlichen Dank.

Gruß

Enzo
Seitenanfang Seitenende
09.02.2005, 14:05
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 Hallo@enzox

Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/

Bitte, poste alles, worum ich dich gebeten habe...wir sind noch nicht fertiG ;)

<das Log vom ADAware
<das neue Log vom CSWhredder.
< das neue Log vom HijackThis

berichte auch, ob der neue Virenscanner NOD32 was geloescht hat, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 14:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 15:42
...neu hier

Beiträge: 8
#11 Hallo Sabina,


Ad-Aware SE Build 1.05
Logfile Created on:Mittwoch, 9. Februar 2005 14:41:18
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):6 total references
Tracking Cookie(TAC index:3):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


09.02.2005 14:41:18 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Enzo\recent
Description : list of recently opened documents


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 532
ThreadCreationTime : 09.02.2005 09:59:41
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 616
ThreadCreationTime : 09.02.2005 09:59:44
BasePriority : High


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 660
ThreadCreationTime : 09.02.2005 09:59:45
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 672
ThreadCreationTime : 09.02.2005 09:59:45
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 840
ThreadCreationTime : 09.02.2005 09:59:45
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 916
ThreadCreationTime : 09.02.2005 09:59:45
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1292
ThreadCreationTime : 09.02.2005 09:59:47
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1660
ThreadCreationTime : 09.02.2005 09:59:50
BasePriority : Normal


#:9 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 1672
ThreadCreationTime : 09.02.2005 09:59:51
BasePriority : Normal
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
ProductName : Zone Labs Client
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : zlclient.exe

#:10 [msnmsgr.exe]
FilePath : C:\Programme\MSN Messenger\
ProcessID : 1680
ThreadCreationTime : 09.02.2005 09:59:51
BasePriority : Normal
FileVersion : 6.2.0137
ProductVersion : Version 6.2
ProductName : MSN Messenger
CompanyName : Microsoft Corporation
FileDescription : MSN Messenger
InternalName : msnmsgr
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msnmsgr.exe

#:11 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1764
ThreadCreationTime : 09.02.2005 09:59:55
BasePriority : Normal


#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1832
ThreadCreationTime : 09.02.2005 09:59:55
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ProcessID : 1884
ThreadCreationTime : 09.02.2005 09:59:55
BasePriority : Normal
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : vsmon.exe

#:14 [msimn.exe]
FilePath : C:\Programme\Outlook Express\
ProcessID : 1416
ThreadCreationTime : 09.02.2005 10:01:03
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Outlook Express
InternalName : MSIMN
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : MSIMN.EXE

#:15 [emule.exe]
FilePath : C:\Programme\eMule.de\
ProcessID : 1432
ThreadCreationTime : 09.02.2005 10:10:27
BasePriority : Normal
FileVersion : 0.44.1
ProductVersion : 0.44.1
ProductName : eMule
CompanyName : http://www.emule-project.net
FileDescription : eMule
InternalName : emule.exe
LegalCopyright : Copyright © 2002-2004 Merkur - read license.txt for more infos
OriginalFilename : emule.exe

#:16 [iexplore.exe]
FilePath : C:\Programme\Internet Explorer\
ProcessID : 1948
ThreadCreationTime : 09.02.2005 13:22:26
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

#:17 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1004
ThreadCreationTime : 09.02.2005 13:31:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:18 [taskmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 580
ThreadCreationTime : 09.02.2005 13:33:49
BasePriority : High
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Task-Manager
InternalName : taskmgr
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : taskmgr.exe

#:19 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 548
ThreadCreationTime : 09.02.2005 13:34:10
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:20 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ProcessID : 2000
ThreadCreationTime : 09.02.2005 13:40:43
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : enzo@atdmt[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:enzo@atdmt.com/
Expires : 08.02.2010 01:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : enzo@doubleclick[2].txt
Category : Data Miner
Comment : Hits:8
Value : Cookie:enzo@doubleclick.net/
Expires : 09.02.2008 11:17:58
LastSync : Hits:8
UseCount : 0
Hits : 8

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 8



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 8


Deep scanning and examining files (D;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 8


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
11 entries scanned.
New critical objects:0
Objects found so far: 8




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 8

14:49:51 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:08:33.63
Objects scanned:96388
Objects identified:2
Objects ignored:0
New critical objects:2



_________________________________________________________________

**** Run Keys ****

RUN: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
RUN: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background


**** Browser Helper Objects ****



**** IE Toolbars ****



**** IE Extensions ****



**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 www.igetnet.com
HOSTS: 127.0.0.1 code.ignphrases.com
HOSTS: 127.0.0.1 clear-search.com
HOSTS: 127.0.0.1 r1.clrsch.com
HOSTS: 127.0.0.1 sds.clrsch.com
HOSTS: 127.0.0.1 status.clrsch.com
HOSTS: 127.0.0.1 www.clrsch.com
HOSTS: 127.0.0.1 clr-sch.com
HOSTS: 127.0.0.1 sds-qckads.com
HOSTS: 127.0.0.1 status.qckads.com


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\SYSTEM32\blank.htm
Search Bar: http://www.google.com
Search Page: http://www.google.com


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Irda [IrDA]
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] DATAGRAM 4


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] "C:\Programme\AVPersonal\AVGUARD.EXE"
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[cisvc] C:\WINDOWS\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{74EEADE2-DB32-47F9-BE51-E8CD88DDDF89}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: []
SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
SEARCH: [SearchAssistant] http://www.google.com
SEARCH: [SearchAssistant] http://www.google.com
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: []


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\SYSTEM32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.ebay.de/
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.google.com
IEOPT: [Check_Associations] No
IEOPT: [FullScreen] no
IEOPT: [Use FormSuggest] yes
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [BandRest] Never
IEOPT: [Search Bar_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
IEOPT: [Search Page_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/
IEOPT: [Use Search Assistant] no
IEOPT: [SearchURL]
IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho
IEOPT: [conc] E ÙA://quickmetasearch.com/?said=acc0001_ho
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] yes
IEOPT: [ShowedCheckBrowser] Yes
IEOPT: [Search Bar] http://www.google.com
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.google.com
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [Search Bar] http://www.google.com
IEOPT: [AddClsReg]
IEOPT: [AddClsID]
IEOPT: [AddClsADtid]
IEOPT: [AddClsutid]
IEOPT: [AClsBnxt]
IEOPT: [BandRest] Never
IEOPT: [SearchURL]
IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho


_________________________________________________________________

Logfile of HijackThis v1.99.0
Scan saved at 14:31:07, on 09.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\DOKUME~1\Enzo\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Enzo\LOKALE~1\Temp\kavss.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Enzo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

_________________________________________________________________

NOD32 lasse ich gerade scannen.

about:blank ist wieder da. Ich bekomme das kotzen. Die verfickte Schei... von about:blank bekommt man einfach nicht weg.





Gruß Enzo
Seitenanfang Seitenende
09.02.2005, 15:48
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#12 Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

loesche das aus der Registry

findest du unter diesen Schluesseln:

HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*

IEOPT: [Search Bar_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*
IEOPT: [Search Page_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
#Orginal Host Datei


deinstalliere Antivirus und lade:


#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

mache einen Fullscann im abgesicherten Modus und dann will ich alle Logs noch mal sehen
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 17:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 16:49
...neu hier

Beiträge: 8
#13 Hallo Sabina,

habe folgende Fragen zu:

"loesche das aus der Registry

findest du unter diesen Schluesseln:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*

IEOPT: [Search Bar_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*
IEOPT: [Search Page_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/"*

1.wo finde ich HKCU\software usw. ? Hijackerthis ?

2.was soll ich mit SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*
anfangen ? Ich werde da nur auf eine suchseite umgeleitet.

3. Bei mir hat er nicht die Datei "#orginal Host Datei", was soll ich machen ?

Gruß Enzo
Dieser Beitrag wurde am 09.02.2005 um 17:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 17:07
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#14 Hallo@enzox

oh, mein Gott
du darfst doch nicht auf die Links klicken ? Hast du denn voellig den Verstand verloren ?????????????????????
_____________________________________________________________________________

gehe bitte in die Registry
Start<Ausfuehren--> schreibb rein: regedit
die Registry oeffnet sich

nun navegierst du zu:

HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\

[SearchAssistant_bak]
[Search Bar_bak]
[Search Page_bak]

dort loeschst du mit rechtsklick :
*http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*

gleiches unter diesem Schluessel:

HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
[SearchAssistant_bak]
[Search Bar_bak]
[Search Page_bak]

dort loeschst du mit rechtsklick :

*http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/*

dann ueberpruefst du wieder, ob die Hostdatei sauber ist (mit dem HijackThis) -->HOSTS: 127.0.0.1 localhost (nur das darf drinstehen)


deinstalliere Antivirus und lade:

#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

abgesicherten Modus -->F8 DRUECKEN, WENN DER PC HOCHFAEHRT UND MELDE DICH ALS ADMINISTRATOR AN)

mache einen Komplettscann mit dem NOD32 Antivirus System

und dann will ich alle Logs noch mal sehen
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 17:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 17:39
...neu hier

Beiträge: 8
#15 Hallo Sabina,

wenn ich in "regedit" rein gehen, dann bekomme ich nur Schlüssle mit HKEY. Es gibt keinen der mit HKCU oder HKLM ist ????

gruß enzo
Seitenanfang Seitenende