TR\LEFEAT.DLL1 wie entfernen?

#0
11.02.2005, 10:44
...neu hier

Beiträge: 10
#46 Hab ich...geht nicht!!!

Ich geh unter downloads auf getservices.zip...Doppelklick!
Krieg das Winzip Fenster mit zwei Dateien:

psservice.exe und getservice.bat...Doppelklick auf getservice.bat.
2 Fenster erscheinen...erstes Fenster: getservice.txt editor ist leer,
zweites Fenster: C:\WINDOWS\System32\cmd.exe, darin steht:
der Befehl psservice ist entweder falsch geschrieben oder konnte nicht gefunden werden!

ich hab es als Admin probiert und normal...hab sogar das Ding gelöscht und nochmal runtergeladen...haut nicht hin.

Ansonsten hab ich aber alles gemacht wie du empfohlen und das ist das Ergebnis:


Logfile of HijackThis v1.99.0
Scan saved at 10:33:38, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Na zufrieden mit deinem Schüler?
Seitenanfang Seitenende
11.02.2005, 10:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 Hallo@lattenbreit

dann schauen wir mal direkt in der Registry nach:

Start<Ausfuehren< regedit

Bearbeiten-->suchen
1.) Remote Procedure Call

was findest du ?

2.)
suche auch unter diesem Schluessel, ob du einen Eintrag findest, der diesem hier aehnlich ist
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\½O.#ž‚„õØ´â

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

"^%SystemRoot^%\SYSTEM32\NTROOTKIT.exe"="WIN2000"
"C:\WINDOWS\SYSTEM32\NTROOTKIT.exe"="WIN2000"


______________________________

Berichte, was du findest ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.02.2005 um 10:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.02.2005, 21:34
...neu hier

Beiträge: 10
#48 Also zu 1. :

Ich finde 7 Einträge, aber ich hoffe du willst nicht wirklich wissen wie die heißen! ich hab nämlich keine Ahnung wie mal so komische Symbole macht!
Ich kann die Mistviecher auch nicht kopieren!

Zu 2. :

es gibt keine einzige - völlige - Übereinstimmung mit deinen Einträgen!

Zu Eintrag 1 bis 3: die haben hinten kein 1/2 sondern Vierevke oder ne Klammer!

Zu Eintrag 4: ...ControlSet003...hab ich nicht!

Zu Eintrag 5: ...0000 hinten hab ich nicht, ansonsten aber identisch!

Zu Eintrag 6: ...AppCompatFlags...hab ich auch nicht, bis dahin aber identisch!

Zu Eintrag 7 und 8: scheinen nicht vorhanden zu sein!



Na? Weißt du was, ich hol mir schon mal das Bier...so langsam macht das richtig Laune hier mit Euch!
Seitenanfang Seitenende
11.02.2005, 23:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 Hallo@Lattenbreit ;)

ich hab ja auch nicht gesagt, dass sie identisch sind, sondern aehnlich--> das ist ein Dienst, den der Hijacker erstellt hat und solange der nicht geloescht ist, wird dein PC nicht sauber sein ;)

Mache bitte unbedingt folgendes:
Start<Aussfuehren<regedit:

Ändern Sie außerdem noch die Rechte unter "Sicherheit" -> "Berechtigungen" und geben Sie der Gruppe "Jeder" bzw. "Everyone" auf diesen Zweig "Full Control"\
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen

Schlüssel markieren --> Bearbeiten --> Berechtigungen --> Taste Erweitert --> Checkbox "Berechtigungen übergeortneter Objekte auf untergeortnete Objekte, sofern anwendabr, vererben.

Die Berechtigung darf NICHT auf "Lesen" gestellt, sein, sonst kannst du es nicht loeschen.
Loesche:

alles, was du gefunden hast, was aehnlich, aber nicht unbedingt identlisch mit meinem Beispiel ist

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000

schliesse die Registry

neustarten

dann scanne noch einmal mit escan und berichte, ob noch was gefunden wurde.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.02.2005 um 23:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.02.2005, 02:45
...neu hier

Beiträge: 10
#50 So schauts jetzt aus!

während ich e scan drüberlaufen lass, meldet sich zweimal mein AntiVir XP und schreit:

-trojanisches Pferd: TR/Drop.StartP.TJ.1

-Datei enthält Signatur des Java Virus: Java/Classloade.Z.1

Na super...heute scheint mein Glückstag zu sein.

e scan findet eine Geschichte:


Sat Feb 12 01:58:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*



Sat Feb 12 02:21:03 2005 => Total Files Scanned: 35836
Sat Feb 12 02:21:03 2005 => Total Virus(es) Found: 2
Sat Feb 12 02:21:03 2005 => Total Disinfected Files: 0
Sat Feb 12 02:21:03 2005 => Total Files Renamed: 0
Sat Feb 12 02:21:03 2005 => Total Deleted Files: 0
Sat Feb 12 02:21:03 2005 => Total Errors: 2
Sat Feb 12 02:21:03 2005 => Time Elapsed: 00:53:26
Sat Feb 12 02:21:03 2005 => Virus Database Date: 2005/02/09
Sat Feb 12 02:21:03 2005 => Virus Database Count: 117589

Sat Feb 12 02:21:03 2005 => Scan Completed.

Sat Feb 12 02:25:44 2005 => Virus Database Date: 2005/02/09
Sat Feb 12 02:25:44 2005 => Virus Database Count: 117589


Und weil es gerade so lustig ist, hier nochmal ein topaktuelles hijackthis logfile:


Logfile of HijackThis v1.99.0
Scan saved at 02:42:57, on 12.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108158209860
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


So ich bin Matsch, freu mich auf Antwort!
Seitenanfang Seitenende
12.02.2005, 12:02
Moderator
Avatar joschi

Beiträge: 6466
#51 Nun ?
Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Vermutlich hat e-scan ein File gefunden, das in die "Quarantäne" des Virenscanners verschoben (und vermutlich) umbenannt wurde.
Lösche die angezeigte Datei einfach.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.02.2005, 14:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Hallo@Lattenbreit ;)

Hast du den Dienst aus der Registry geloescht ???????

AEHNLICH wie dieser '???
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.02.2005 um 14:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.02.2005, 15:55
...neu hier

Beiträge: 10
#53 Ja, ich habe gerade nochmal nachgeschaut.
Ich habe alle Files, ähnlich deinen gelöscht, zumindest sind sie nicht mehr da!

Ein paar Files haben allerdings Endungen alà: ...(A7S66Q...) soll ich sowas auch löschen?

Und wie lösch ich:
Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* ?????

Ich bin voller Tatendrang und werde heute meinem PC mal zeigen wer hier die Hosen anhat!!!


Ach und da wär noch was, die zwei von meinem AntiVir XP erkannten Problemchen soll ich ignorieren?
Dieser Beitrag wurde am 12.02.2005 um 15:57 Uhr von lattenbreit editiert.
Seitenanfang Seitenende
12.02.2005, 19:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 wir wollen vermeiden, dass du wichtige Dienste loeschst, anstelle des Hijackers.

Deshalb lassen wir es dabei ;)

CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000
oder gibt es noch Dienste aehnlich diesem ?????

wenn dein AVPersonal beim Scannen mit escan eine Virenmeldung ausgibt, musst du auf "loeschen" klicken.

Ansonsten ist dein Log sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2005, 21:57
...neu hier

Beiträge: 10
#55 Ich habe alles gemacht wie verlangt!

Gibts noch irgendwelche Wünsche?
Was empfiehlst du mir für die Zukunft...ws muss ich runterladen um meinen PC sicher zu machen?

Hab jetzt schon Opera installiert!

Und hier ist das nächste Bier!
Seitenanfang Seitenende
13.02.2005, 11:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 Hallo@lattenbreit

Opera ist o.k. Du kannst auch den Firefox laden.

#Alternativbrowser zum IE

Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html

#Spywareguard->überwachungstool-->updaten
und aktivieren
http://www.javacoolsoftware.com/sgdownload.html

Dann update den Antivirus jeden Tag und vermeide suspekte In-Net-Seiten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.02.2005 um 11:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.02.2005, 18:03
...neu hier

Beiträge: 10
#57 Danke, Danke, Danke...das war wirklich ne große Hilfe!

Bis die Tage (hoffentlich nicht!)
Seitenanfang Seitenende
13.02.2005, 23:47
...neu hier

Beiträge: 10
#58 Hoffentlich kann auch mir geholfen werden. ;)
Sabina, ich hab das hier verfolgt und verstehst echt eine Menge davon! *thumbs up*

Hier mein Hijack Log:

Logfile of HijackThis v1.99.0
Scan saved at 23:46:42, on 13.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AV Personal\AVGUARD.EXE
D:\Programme\AV Personal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
D:\Programme\FRITZ! DSL\Awatch.exe
D:\Programme\TV Movie ClickFinder\tvtip.EXE
D:\Programme\AV Personal\AVGNT.EXE
D:\Programme\FRITZ! DSL\FritzDsl.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\kavss.exe
D:\Tools\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/www.schloebe.de/intro.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {61704EFB-2CB9-E208-6F53-085E40335F62} - C:\WINDOWS\crea.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe"
O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [appgr.exe] C:\WINDOWS\system32\appgr.exe
O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
Seitenanfang Seitenende
14.02.2005, 12:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 Hallo@AlphawolfWMP

Dein PC ist voellig verseucht...und das ist kein Wunder--> du weisst wahrscheinlich nicht, dass man die WindowsUpdates machen muss.

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(kannst du dann wieder aktivieren)

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"



Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{61704EFB-2CB9-E208-6F53-085E40335F62}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

{A6F74643-242A-A7A4-8DD5-DB40B9E25345}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


-----------------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/www.schloebe.de/intro.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129

O2 - BHO: (no name) - {61704EFB-2CB9-E208-6F53-085E40335F62} - C:\WINDOWS\crea.dll
O4 - HKLM\..\RunOnce: [appgr.exe] C:\WINDOWS\system32\appgr.exe
O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - http://download.smartsurfer.web.de/toolbar/webdetb.cab

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll
C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDE.DLL
C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML
C:\WINDOWS\crea.dll
C:\WINDOWS\system32\appgr.exe

PC neustarten

eScan-Erkennungstool

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

danach die infected-dateien loeschen (manuell oder mit der Killbox)


#ClaerProg..lade die neuste Version <1.4.1

http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

1. Download VX2Finder from this link:
http://downloads.subratam.org/VX2Finder(126).exe
Run Vx2Finder and click on the Click to find VX2.BetterInternet button.
Click the Make Log button

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen (FULLSCANN) -->PC neustarten--> noch mal scannen--> poste das Log vom Scann

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
4. Click "Fix ->"
Log-->"make Report" --> poste das Log

+ poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.02.2005 um 12:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.02.2005, 17:13
...neu hier

Beiträge: 10
#60 Log für Registry Search Tool ({61704EFB-2CB9-E208-6F53-085E40335F62}):
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{61704EFB-2CB9-E208-6F53-085E40335F62}" 14.02.2005 17:04:15

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\Data]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\Data\MD]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
"{61704EFB-2CB9-E208-6F53-085E40335F62}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61704EFB-2CB9-E208-6F53-085E40335F62}]

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

Log für Registry Search Tool ({A6F74643-242A-A7A4-8DD5-DB40B9E25345}):

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" 14.02.2005 17:06:51

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.IEToolbar\CLSID]
@="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.IEToolbar.1\CLSID]
@="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.XBTB01251\CLSID]
@="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.XBTB01251.1\CLSID]
@="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\InstalledVersion]

[HKEY_USERS\S-1-5-21-602162358-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}]

[HKEY_USERS\S-1-5-21-602162358-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\iexplore]

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

eScan Log:
Mon Feb 14 17:43:04 2005 => File C:\WINDOWS\d3kj.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:43:11 2005 => File C:\WINDOWS\d3gz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:43:18 2005 => File C:\WINDOWS\System32\addqu.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:43:19 2005 => File C:\WINDOWS\System32\apisp32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Log for VX2.BetterInternet File Finder (msg126)

Files Found---

Additional Files---

Keys Under Notify---
AtiExtEvent
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon

Guardian Key--- is called:

User Agent String---

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Ad-Aware Log:
Ad-Aware SE Build 1.05
Logfile Created on:Montag, 14. Februar 2005 19:14:07
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch(TAC index:10):11 total references
MRU List(TAC index:0):51 total references
Win32.TrojanDownloader.Agent.al(TAC index:7):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


14.02.2005 19:14:07 - Scan started. (Custom mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 608
ThreadCreationTime : 14.02.2005 18:12:09
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 672
ThreadCreationTime : 14.02.2005 18:12:11
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 696
ThreadCreationTime : 14.02.2005 18:12:12
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 740
ThreadCreationTime : 14.02.2005 18:12:12
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 14.02.2005 18:12:12
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 912
ThreadCreationTime : 14.02.2005 18:12:15
BasePriority : Normal
FileVersion : 6.14.10.4107
ProductVersion : 6.14.10.4107.03
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 948
ThreadCreationTime : 14.02.2005 18:12:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1100
ThreadCreationTime : 14.02.2005 18:12:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1208
ThreadCreationTime : 14.02.2005 18:12:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1348
ThreadCreationTime : 14.02.2005 18:12:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1488
ThreadCreationTime : 14.02.2005 18:12:17
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 300
ThreadCreationTime : 14.02.2005 18:12:23
BasePriority : Normal
FileVersion : 6.14.10.4107
ProductVersion : 6.14.10.4107.03
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 432
ThreadCreationTime : 14.02.2005 18:12:24
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:14 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 668
ThreadCreationTime : 14.02.2005 18:12:45
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:15 [avguard.exe]
FilePath : D:\Programme\AV Personal\
ProcessID : 376
ThreadCreationTime : 14.02.2005 18:12:45
BasePriority : Normal


#:16 [avwupsrv.exe]
FilePath : D:\Programme\AV Personal\
ProcessID : 124
ThreadCreationTime : 14.02.2005 18:12:45
BasePriority : Normal


#:17 [tcpsvcs.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1088
ThreadCreationTime : 14.02.2005 18:12:48
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : TCP/IP Services Application
InternalName : TCPSVCS.EXE
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : TCPSVCS.EXE

#:18 [snmp.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1236
ThreadCreationTime : 14.02.2005 18:12:48
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : SNMP-Dienst
InternalName : snmp.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : snmp.exe

#:19 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1580
ThreadCreationTime : 14.02.2005 18:12:48
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:20 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1748
ThreadCreationTime : 14.02.2005 18:12:49
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:21 [nthy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1740
ThreadCreationTime : 14.02.2005 18:13:00
BasePriority : Normal


Win32.TrojanDownloader.Agent.al Object Recognized!
Type : Process
Data : nthy.exe
Category : Data Miner
Comment : (CSI MATCH)
Object : C:\WINDOWS\system32\


Warning! Win32.TrojanDownloader.Agent.al Object found in memory(C:\WINDOWS\system32\nthy.exe)

"C:\WINDOWS\system32\nthy.exe"Process terminated successfully
"C:\WINDOWS\system32\nthy.exe"Process terminated successfully

#:22 [mixer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1992
ThreadCreationTime : 14.02.2005 18:13:04
BasePriority : Normal
FileVersion : 1.55
ProductVersion : 1.55
ProductName : Mixer
CompanyName : C-Media Electronic Inc. (www.cmedia.com.tw)
FileDescription : Mixer
InternalName : Mixer
LegalCopyright : Copyright (C) 1997-2002
LegalTrademarks : NONE
OriginalFilename : Mixer.EXE
Comments : Feng Min-Chih (min_chih@cmedia.com.tw)

#:23 [awatch.exe]
FilePath : D:\Programme\FRITZ! DSL\
ProcessID : 184
ThreadCreationTime : 14.02.2005 18:13:05
BasePriority : Normal
FileVersion : 3.04.04
ProductVersion : 3.04.04
ProductName : ADSLWatch
CompanyName : AVM Berlin
FileDescription : ADSLWatch
InternalName : ADSLWatch
LegalCopyright : Copyright © AVM Berlin 2000-2003
OriginalFilename : AWatch.EXE

#:24 [tvtip.exe]
FilePath : D:\Programme\TV Movie ClickFinder\
ProcessID : 188
ThreadCreationTime : 14.02.2005 18:13:05
BasePriority : Normal
FileVersion : 1.00
ProductVersion : 1.00
ProductName : TVTip
InternalName : tvtip
OriginalFilename : tvtip.exe

#:25 [avgnt.exe]
FilePath : D:\Programme\AV Personal\
ProcessID : 228
ThreadCreationTime : 14.02.2005 18:13:06
BasePriority : Normal


#:26 [mfcvy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 252
ThreadCreationTime : 14.02.2005 18:13:06
BasePriority : Normal


#:27 [fritzdsl.exe]
FilePath : D:\Programme\FRITZ! DSL\
ProcessID : 2036
ThreadCreationTime : 14.02.2005 18:13:06
BasePriority : Normal
FileVersion : 3.03 / 1.06
ProductVersion : 3.03 / 1.06
ProductName : FRITZ!
CompanyName : AVM Berlin GmbH
FileDescription : FRITZ!web DSL
InternalName : FRITZ!web DSL
LegalCopyright : Copyright © AVM Berlin GmbH
OriginalFilename : FritzDsl.exe
Comments : Starter

#:28 [ad-aware.exe]
FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3048
ThreadCreationTime : 14.02.2005 18:13:45
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1

MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\adobe\photoshop\7.0\visiteddirs
Description : adobe photoshop 7 recent work folders


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\ahead\nero wave editor\recent file list
Description : list of recently used files in nero wave editor


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\player\settings
Description : last save as directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\google\navclient\1.1\history
Description : list of recently used search terms in the google toolbar


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences
Description : last cd record path used in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\paint shop pro 7\recent file list
Description : list of recently used files in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\recent file list
Description : list of recently used files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\paint shop pro 7\general
Description : last save as directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : software\musicmatch
Description : download location of the musicmatch installer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\saveasdialog
Description : list of recently saved files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\mmradio
Description : information on the last station listened to using musicmatch radio


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\picture it! publishing\5.0\recent file list
Description : list of recently used files in microsoft picture it!


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\macromedia\flash 6\recent file list
Description : list of recently used files in macromedia flash


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\fileopendialog
Description : list of recently opened files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences
Description : last search path used in microsoft windows media player


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\fileconv
Description : file conversion location settings in musicmatch jukebox


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Web Production Unit\recent
Description : list of recently opened documents



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 52



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\Dokumente und Einstellungen\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 52

Disk Scan Result for C:\TEMP\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 52

CoolWebSearch Object Recognized!
Type : File
Data : iwtss.txt
Category : Malware
Comment :
Object : C:\WINDOWS\



Disk Scan Result for C:\WINDOWS\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 53


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : UninstallString

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 10
Objects found so far: 63

19:19:27 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:05:19.687
Objects scanned:91537
Objects identified:12
Objects ignored:0
New critical objects:12

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

CWShredder Log:
**** Run Keys ****

RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
RUN: [C-Media Mixer] Mixer.exe /startup
RUN: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe"
RUN: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m
RUN: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min
RUN: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime
RUN: [crcx32.exe] C:\WINDOWS\system32\crcx32.exe


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar2.dll
BHO: [Google Toolbar Helper] C:\WINDOWS\system32\crcx32.dll


**** IE Toolbars ****

TOOLBAR: [&Google] c:\programme\google\googletoolbar2.dll
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx


**** IE Extensions ****

IEExt: []
IEExt: [AIM] D:\Programme\AIM\aim.exe
IEExt: [ICQ 4.1] D:\Programme\ICQ Lite\ICQLite.exe
IEExt: [Messenger] C:\Programme\Messenger\MSMSGS.EXE


**** Hosts File Entries ****



**** IE Settings ****

Default Page: about:blank
Default Search:
Local Page: C:\WINDOWS\system32\blank.htm
Search Bar:
Search Page:


**** IE Context Menu (Right click) ****

IEContext: [&Google Search] res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
IEContext: [Download with GetRight] D:\Tools\GetRight\GRdownload.htm
IEContext: [Google AdSense Preview Tool] http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
IEContext: [Im Cache gespeicherte Seite] res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
IEContext: [Open with GetRight Browser] D:\Tools\GetRight\GRbrowse.htm
IEContext: [Verweisseiten] res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
IEContext: [Ähnliche Seiten] res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html


**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] DATAGRAM 3


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab]
{62475759-9E84-458E-A1AB-5D2C442ADFDE} [http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe]
{88D969C0-F192-11D4-A65F-0040963251E5} [http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab] C:\WINDOWS\System32\msxml4a.dll C:\WINDOWS\System32\msxml4r.dll C:\WINDOWS\System32\msxml4.dll
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab]
{B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/msnmessengersetupdownloader.cab]
{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab]
{CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] D:\Programme\AV Personal\AVGUARD.EXE
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe
[ATI Smart] C:\WINDOWS\system32\ati2sgag.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "D:\Programme\AV Personal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[cisvc] C:\WINDOWS\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[de_serv] C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\System32\imapi.exe
[Iprip] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[LPDSVC] %SystemRoot%\System32\tcpsvcs.exe
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[SimpTcp] %SystemRoot%\System32\tcpsvcs.exe
[SNMP] %SystemRoot%\System32\snmp.exe
[SNMPTRAP] %SystemRoot%\System32\snmptrap.exe
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{A34D5B9D-EFC3-44BA-A086-A325A4CDB4C3}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\System32\wdfmgr.exe
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [Show_ChannelBand] No
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [AddToFavoritesExpanded]
IEOPT: [AllowWindowReuse]
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Check_Associations] yes
IEOPT: [Disable Script Debugger] yes
IEOPT: [Display Inline Images] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [Do404Search]
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Error Dlg Details Pane Open] yes
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Expand Alt Text] no
IEOPT: [FavChevron] NO
IEOPT: [FavIntelliMenus] yes
IEOPT: [FavoritesExportFile] C:\Dokumente und Einstellungen\All Users\Dokumente\bookmark.htm
IEOPT: [FavoritesImportFolder] C:\Dokumente und Einstellungen\Web Production Unit\Favoriten
IEOPT: [Force Offscreen Composition]
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] no
IEOPT: [Friendly http errors] yes
IEOPT: [FullScreen] no
IEOPT: [HistoryViewType]
IEOPT: [Move System Caret] no
IEOPT: [NoJITSetup]
IEOPT: [NotifyDownloadComplete] no
IEOPT: [NoUpdateCheck]
IEOPT: [NoWebJITSetup]
IEOPT: [NscSingleExpand]
IEOPT: [Page_Transitions]
IEOPT: [Play_Animations] yes
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Print_Background] no
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show image placeholders]
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [ShowGoButton] yes
IEOPT: [SmoothScroll]
IEOPT: [Start Page] about:blank
IEOPT: [Use FormSuggest] yes
IEOPT: [Use Search Asst] no
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [UseThemes]
IEOPT: [Window_Placement] ,
IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Web Production Unit\Desktop\
IEOPT: [Search Page]
IEOPT: [Search Bar]
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [Check_Associations] yes
IEOPT: [Default_Page_URL] about:blank
IEOPT: [Default_Search_URL]
IEOPT: [Search Page]
IEOPT: [Use Search Asst] no
IEOPT: [Search Bar]

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Aktuelles HiJack Log:
Logfile of HijackThis v1.99.0
Scan saved at 19:33:54, on 14.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AV Personal\AVGUARD.EXE
D:\Programme\AV Personal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
D:\Programme\FRITZ! DSL\Awatch.exe
D:\Programme\TV Movie ClickFinder\tvtip.EXE
D:\Programme\AV Personal\AVGNT.EXE
D:\Programme\FRITZ! DSL\FritzDsl.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\WINDOWS\system32\addqw32.exe
C:\WINDOWS\system32\crcx32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp
D:\Tools\Hijack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AB9E092A-BF8D-71DD-9AA4-6E0B78BFA0CE} - C:\WINDOWS\system32\crcx32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe"
O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [crcx32.exe] C:\WINDOWS\system32\crcx32.exe
O4 - HKLM\..\Run: [111.tmp] C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp.exe 0 28129
O4 - HKLM\..\RunOnce: [nthy.exe] C:\WINDOWS\system32\nthy.exe
O4 - HKLM\..\RunOnce: [addqw32.exe] C:\WINDOWS\system32\addqw32.exe
O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe


Das waren jetzt alle. Hoffe, ich habe alles richtig gemacht. ;)
Dieser Beitrag wurde am 14.02.2005 um 19:34 Uhr von AlphawolfWMP editiert.
Seitenanfang Seitenende