Hijacker - Fast alles entfernt, rechte Maustaste funktioniert nur noch nicht

#0
06.04.2005, 13:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 zuerst einmal loesche die Datein , die ich geschrieben hab mit der Killbox.

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

*C:\WINNT\wininit.ini-->auch loeschen

`[Rename]
`NUL=C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE
`NUL=C:\WINNT\GXTRAN~1.BAKC:\WINNT\system32\mqexdlm.srg=C:\WINNT\exdl.exe
`C:\WINNT\system32\javexulm.vxd=C:\WINNT\exul.exe
`NUL=C:\WINNT\ADP803~1.EXE
`NUL=C:\WINNT\exdl.exe
`NUL=C:\WINNT\ahadp.exe

C:\WINNT\wininit.ini
C:\WINNT\exdl.exe
C:\WINNT\exul.exe
C:\WINNT\ahadp.exe
C:\WINNT\ADP803~1.EXE
C:\WINNT\system32\javexulm.vxd
C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE

ap2nqrd4.dat<---ADW_SAHAGENT.F

• a95kfrhe.ini
• ap2nqrd4.dat
• ap9h4qmo.ini
• baur5s9q.dat
• bqrufs5f.dat
• p1vmi8n5.html
• q10pvbrv.dat
• q10pvbrv.dat
• q17i9a4j.ini
• qh4mkbv9.dll
• ritsacnk.dat
• u8jbdoj1.html

C:\temp\salm.log:
C:\temp\salmau.dat
C:\temp\salmhook.dll
-----------------------------

Dann loesche auch rigeros diese Datein, wenn sie alle das gleiche Erstellungsdatum haben.....

Zitat


In C:\WINNT

saap_gdf.dat<--180search Assistant Adware
saap_kyf.dat
saappau.dat
WMSysPR9.prx<--Windows Media Format 9/nicht loeschen ???
test (keine Ahnung was für ein Dateiformat)
win.ini <--wuerde ich erst mal nicht loeschen--> oder ist das Erstellungsdatum wirklich das vom Zeitpunkt der Verseuchung ?????
wininit.ini
ODBCINST.ini (Driver????)
wmsetup.log<-- MS MediaPlayer
saap.log

In C:\WINNT\System32

FNTCACHE.dat
perflibs_
ap2nqrd4.dat<---ADW_SAHAGENT.F

gah95on6.ini<--SAHagent
gah95on6.exe and gah95on6.ini (this ini file contains a ton of stuff referencing browsers, cookies, dll's, intalls, SAHagent, etc)

http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=ADW_SAHAGENT.F




•AboutBuster
www.malwarebytes.biz/AboutBuster.zip
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

poste mir das Log vom SCann

Removed Data Streams:
C:\WINDOWS\WMSysPr9.prx:kkzbj Achtung!
C:\WINDOWS\win.ini:fnynl

C:\WINDOWS\saap.log: (deleted)
C:\WINDOWS\saapau.dat: (deleted)
C:\temp\salmhook.dll: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095567.exe: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095568.exe: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095569.dll: (deleted)
C:\temp\salm.log: (deleted)
C:\temp\salmau.dat: (deleted)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 12:58
Member

Themenstarter

Beiträge: 16
#17 @Sabina

Hallo, sorry, kann mich heute erst melden.

hier das Logfile von AboutBuster:

Scanned at: 12:35:05 on: 08.04.2005


-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 25

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 25

No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!

Ich habe die Dateien, die Du mir genannt hast versucht zu löschen. Einige hat die KillBox nicht gefunden, bzw. die waren nicht auf meinem System.

Folgende Dateien kommen mir noch verdächtig vor:

C:\WINNT\System32\bln02nqv.exe<--Adware
C:\WINNT\System32\a95kfrhe.exe<---AdWare.Sahat.o
C:\WINNT\System32\kdlmjh8r.dat ?
C:\WINNT\System32\tm97pj39.dat ?
C:\WINNT\System32\p1fumi62.dat ?
C:\WINNT\System32\goreggbk.dat ?
C:\WINNT\System32\b315cfed.dat ?
C:\WINNT\System32\rmoc3260.dll<--RealPlayer
C:\WINNT\System32\pndx5032.dll<--Treiber
C:\WINNT\System32\pndx5016.dll<--Treiber
C:\WINNT\System32\pncrt.dll<--RealPlayer
C:\WINNT\System32\qh4mkbv9.dll<---AdWare.Sahat.l.

Ansonsten funktioniert die rechte Maustaste immer noch nicht.

Über Systemsteuerung->Anzeige->Hintergrund sind alle Buttons grau unterlegt, so dass ich kein anderes Hintergrundbild wählen kann.

Über Systemsteuerung->Anzeige->Web kann ich das Häckchen bei "Webinhalte auf dem aktiven Desktop anzeigen" nicht wegmachen, da auch dieses Feld grau hinterlegt ist.

Gibt es sonst noch eine Möglichkeit, mein System wieder herzustellen?

Ich danke Dir für Deine Mühe.

----------------------------------------------------------------------------------
Seitenanfang Seitenende
08.04.2005, 13:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo@

C:\WINNT\System32\bln02nqv.exe<--Adware
C:\WINNT\System32\a95kfrhe.exe<---AdWare.Sahat.o
C:\WINNT\System32\kdlmjh8r.dat ?
C:\WINNT\System32\tm97pj39.dat ?
C:\WINNT\System32\p1fumi62.dat ?
C:\WINNT\System32\goreggbk.dat ?
C:\WINNT\System32\b315cfed.dat ?
C:\WINNT\System32\rmoc3260.dll<--RealPlayer
C:\WINNT\System32\pndx5032.dll<--Treiber
C:\WINNT\System32\pndx5016.dll<--Treiber
C:\WINNT\System32\pncrt.dll<--RealPlayer
C:\WINNT\System32\qh4mkbv9.dll<---AdWare.Sahat.l.

---------------------------------------
LOESCHE, falls es da ist:
C:\WINNT\system32\ap9h4qmo.exe
C:\WINNT\system32\q17i9a4j.exe
C:\WINNT\system32\qh4mkbv9.dll
C:\WINNT\System32\a95kfrhe.exe
C:\WINNT\System32\bln02nqv.exe

C:\WINNT\System32\kdlmjh8r.dat
C:\WINNT\System32\tm97pj39.dat
C:\WINNT\System32\p1fumi62.dat
C:\WINNT\System32\goreggbk.dat
C:\WINNT\System32\b315cfed.dat

C:\WINNT\saap_gdf.dat
C:\WINNT\saap_kyf.dat
C:\WINNT\saappau.dat
C:\WINNT\saap.log

C:\WINNT\wininit.ini
C:\WINNT\exdl.exe
C:\WINNT\exul.exe
C:\WINNT\ahadp.exe
C:\WINNT\ADP803~1.EXE
C:\WINNT\system32\javexulm.vxd

C:\temp\salm.log:
C:\temp\salmau.dat
C:\temp\salmhook.dll

•C:\WINNT\system32\FNTCACHE.dat
•C:\WINNT\system32\perflibs_
•C:\WINNT\system32\ap2nqrd4.dat
•C:\WINNT\system32\a95kfrhe.ini
• C:\WINNT\system32\ap2nqrd4.dat
• C:\WINNT\system32\ap9h4qmo.ini
• C:\WINNT\system32\baur5s9q.dat
• C:\WINNT\system32\bqrufs5f.dat
• C:\WINNT\system32\p1vmi8n5.html
• C:\WINNT\system32\q10pvbrv.dat
• C:\WINNT\system32\q10pvbrv.dat
• C:\WINNT\system32\q17i9a4j.ini
• C:\WINNT\system32\qh4mkbv9.dll
• C:\WINNT\system32\ritsacnk.dat
• C:\WINNT\system32\u8jbdoj1.html

•RAV ANTIVIRUS SCAN ONLINE-->berichte vom Scann
http://www.ravantivirus.com/scan/index.php

•Online-Scann (Panda)-->berichte vom Scann
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
---------------------------------------------------------------------------

•eScan-Erkennungstool

eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 14:15
Member

Themenstarter

Beiträge: 16
#19 @Sabina

ich werde Deine Anweisungen gleich durchführen, habe aber vorher noch eine Frage:

Ich habe einen RegCleaner laufen lassen und bei Software folgende Einträge gefunden:

Autor : [Unbekannt]
Software : AdTools Service
Alter : Alt

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_LOCAL_MACHINE\Software\AdTools Service


Autor : ASProtect
Software : SpecData
Alter : Alt

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_CURRENT_USER\Software\ASProtect\SpecData


Autor : DragonFly
Software : Sinedot Shader
Alter : Alt

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_LOCAL_MACHINE\Software\DragonFly\Sinedot Shader


Autor : GTek
Software : GTUpdate
Alter : Alt

Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht
HKEY_CURRENT_USER\Software\GTek\GTUpdate\AUpdate
HKEY_CURRENT_USER\Software\GTek\GTUpdate


Autor : [Unbekannt]
Software : saap
Alter : Alt

Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht
HKEY_CURRENT_USER\Software\saap
HKEY_LOCAL_MACHINE\Software\saap


Autor : Sensaura
Software : Environment
Alter : Alt

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_LOCAL_MACHINE\Software\Sensaura\Environment


Autor : Sensaura
Software : Speaker
Alter : Alt

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_LOCAL_MACHINE\Software\Sensaura\Speaker


So, dann über Tools->Gemeinsam genutzte DLL´s (die gefahrlos gelöscht werden können) finde ich unter Pfad einen Ordner, der bei mir gar nicht vorhanden ist:
C:\Programme\bilder\About\info\SPAIN
Jedesmal steht eine andere Länderkennung dahinter und die Dateien heißen z.B. company.htm, mulilic.htm, register.txt

Kannst Du damit was anfangen?
Seitenanfang Seitenende
08.04.2005, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 loesche alles mit dem Regcleaner vor allem:

HKEY_LOCAL_MACHINE\Software\AdTools Service
HKEY_CURRENT_USER\Software\saap
HKEY_LOCAL_MACHINE\Software\saap

loeschen:
C:\Programme\bilder\About\info\SPAIN
company.htm, mulilic.htm, register.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 16:01
Member

Themenstarter

Beiträge: 16
#21 Hi Sabina,

hier schon mal die Scann von:

Rav Antivurus Online

Scan started at 08.04.2005 14:26:20

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Afo.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ald.exe.q_1C32601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ibf.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Pkd.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tad.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tvi.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Uud.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected
C:\Messetermine\direkt.exe - Tool:pornDialer.IE -> Infected
C:\Messetermine\DirektDialer.exe - Tool:pornDialer.IE -> Infected

Scanned
============================
Objects: 59593
Directories: 4127
Archives: 1804
Size(Kb): -1130446
Infected files: 9

Found
============================
Viruses found: 2
Suspicious files: 0
Disinfected files: 0
Mail files: 510


Panda


Incident Status Location

Adware:Adware/nCase No disinfected Windows Registry
Spyware:Spyware/Harnig No disinfected C:\WINNT\Downloaded Program Files\load.exe
Adware:Adware/MediaTickets No disinfected Windows Registry
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Afo.exe.q_63A2601_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ald.exe.q_1C32601_q
Adware:Adware/CWS.Searchmeup No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\dsmanager.dll.q_63A6600_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ibf.exe.q_63A2601_q
Virus:Trj/Downloader.BJP Disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\ixukffnc.dll.q_63A8002_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Pkd.exe.q_63A2601_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tad.exe.q_63A2601_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tvi.exe.q_63A2601_q
Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Uud.exe.q_63A2601_q
Adware:Adware/SAHAgent No disinfected C:\RECYCLER\S-1-5-21-1123561945-527237240-682003330-500\Dc3.dll
Adware:Adware/Startpage.CN No disinfected C:\WINNT\webdlg32.dll
Adware:Adware/SBSoft No disinfected C:\WINNT\webdlg32.inf
Adware:Adware/Popup.pop No disinfected C:\WINNT\winsx.dll
Adware:Adware/Popup.pop No disinfected C:\WINNT\winsx.inf
Die Scanns haben etwas gedauert. Bin gerade dabei eScan in DOS upzudaten.

Die Registryeinträge, die Du mir genannt hast, habe ich auch gelöscht.

Kannst Du mit den beiden Scanns was anfangen? Es ist ja so einiges infiziert.
Seitenanfang Seitenende
08.04.2005, 16:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\<--loeschen

C:\Messetermine <--loeschen (ist ein Dialer) Achtung!

sowie alles, was damit in Verbindung steht

loesche mit der KIllbox:

C:\RECYCLER\S-1-5-21-1123561945-527237240-682003330-500\Dc3.dll
C:\WINNT\Downloaded Program Files\load.exe
C:\WINNT\webdlg32.dll
C:\WINNT\winsx.dll
C:\WINNT\winsx.inf
C:\Messetermine\direkt.exe
C:\Messetermine\DirektDialer.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 12:13
Member

Themenstarter

Beiträge: 16
#23 Hallo Sabina,

hier bin ich wieder!

OK, ich habe alle Datein, die Du mir oben genannt hast gelöscht. Außerdem habe ich ein wenig im System rumgestöbert und Dateien gelöscht, mit denen ich nichts anfangen konnte. Mein System läuft noch, also scheint alles ok zu sein ;-).

Die Datei: C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden, die wird aber bei dem Scan von eScan angezeigt.

Hier die infizierten Dateien von dem eScan Scan:

Mon Apr 11 10:09:35 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken.

Mon Apr 11 10:09:35 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 11 10:09:35 2005 => System found infected with kapabout Spyware/Adware! Action taken: No Action Taken.

Mon Apr 11 10:09:35 2005 => File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 11 10:09:38 2005 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Mon Apr 11 10:09:38 2005 => File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 11 10:52:21 2005 => File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.aod" Virus. Action Taken: No Action Taken.

Zusammenfassung:

Mon Apr 11 11:36:54 2005 => ***** Scanning complete. *****

Mon Apr 11 11:36:54 2005 => Total Objects Scanned: 78396
Mon Apr 11 11:36:54 2005 => Total Virus(es) Found: 14
Mon Apr 11 11:36:54 2005 => Total Disinfected Files: 0
Mon Apr 11 11:36:54 2005 => Total Files Renamed: 0
Mon Apr 11 11:36:54 2005 => Total Deleted Objects: 0
Mon Apr 11 11:36:54 2005 => Total Errors: 14
Mon Apr 11 11:36:54 2005 => Time Elapsed: 01:27:50
Mon Apr 11 11:36:54 2005 => Virus Database Date: 2005/04/07
Mon Apr 11 11:36:54 2005 => Virus Database Count: 125034

Mon Apr 11 11:36:54 2005 => Scan Completed.

OK, dass war´s. Hoffe, dass Du mir weiterhin weiter helfen kannst!

Noch einmal vielen dank für Deine Mühe.

Grüße pepsen
Seitenanfang Seitenende
11.04.2005, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo@ pepsen

ameopt Spyware/Adware
DyFuCA.InternetOptimizer: Settings (Registry key, fixing failed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt

DyFuCA.InternetOptimizer: Settings (Registry key, fixing failed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt

Downloader.Dyfuca, TrojanDownloader.Win32.Dyfuca

Related files: Wsem.dll, stmtdlr.exe, COMEDY.EXE, NEM211.DLL, OPTIMIZE.EXE, VIEW-M~1.EXE, actalert.exe, msbb.exe, optimize.exe, saie.exe

Delete registry values:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}

'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}

Delete files:
Wsem.dll, stmtdlr.exe, COMEDY.EXE, NEM211.DLL, OPTIMIZE.EXE, VIEW-M~1.EXE, actalert.exe

Delete directories:
\DyFuCA
~~~~~~~~~~~~~~~~~~~~~~~~
HKEY_USERS\S-1-5-18\Software\salm
HKEY_USERS\Default\Software\salm

------------------------------------------------------------------------------
Spyware/Adware
http://www.sophos.de/virusinfo/analyses/trojdloaderkb.html
HKCR\CLSID\(1E5E0D38-214B-4085-AD2A-D2290E6A2D2C)
HKCR\TypeLib\(15696AE2-6EA4-47F4-BEA6-A3D32693EFC7)
HKCR\CLSID\(1E5E0D38-214B-4085-AD2A-D2290E6A2D2C)
HKCR\TypeLib\(15696AE2-6EA4-47F4-BEA6-A3D32693EFC7)
HKCR\MediaAccess.Installer
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Media Access
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Media Access
HKCR\SOFTWARE\Media Access
HKCR\MediaPassX.Installer
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Media Pass
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Media Pass
HKCR\SOFTWARE\Media Pass
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Admanager Controller
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Admanager Controller
HKCR\SOFTWARE\Admanager Controller
HKCR\PrevAdX.Installer
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Preview AdService
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Preview AdService
HKCR\SOFTWARE\Preview AdService
HKCR\AdStatX.Installer
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Windows AdStatus
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows AdStatus
HKCR\SOFTWARE\Windows AdStatus
HKCR\AdToolsX.Installer
HKCR\CLSID\(15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6)
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AdTools Service
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AdTools Service
HKCR\SOFTWARE\AdTools Service
HKLM\interface\(4e570f74-deee-4fcf-b960-feefa4b8c6fc)
HKLM\software\microsoft\code store database\distribution units\(15ad4789-cdb4-47e1-a9da-992ee8e6bad6)
HKLM\software\winsock2\layered provider sample interface\(4828c95f-c5db-4ab6-a945-8d8ec44b98a8)
HKLM\software\policies\avenue media
HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\(00000010-6f7d-442c-93e3-4a4827c2e4c8)
HKLM\software\avenue media
HKLM\software\microsoft\windows\currentversion\Uninstall\Internet Optimizer
HKLM\software\microsoft\windows\currentversion\uninstall\dyfuca
HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\microsoft\windows\currentversion\uninstall\Internet Optimizer
HKU\S-1-5-20\software\microsoft\windows\currentversion\uninstall\Internet Optimizer
HKU\S-1-5-19\software\microsoft\windows\currentversion\uninstall\Internet Optimizer
HKU\S-1-5-18\software\microsoft\windows\currentversion\uninstall\Internet Optimizer
HKC\.DEFAULT\software\microsoft\windows\currentversion\uninstall\Internet Optimizer
HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\microsoft\windows\currentversion\uninstall\DyFuCA
HKU\S-1-5-20\software\microsoft\windows\currentversion\uninstall\DyFuCA
HKU\S-1-5-19\software\microsoft\windows\currentversion\uninstall\DyFuCA
HKU\S-1-5-18\software\microsoft\windows\currentversion\uninstall\DyFuCA
HKU\.DEFAULT\software\microsoft\windows\currentversion\uninstall\DyFuCA
HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\policies\avenue media
HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\avenue media
HKCR\clsid\(00000010-6f7d-442c-93e3-4a4827c2e4c8)
HKCR\dyfuca_bh.bhobj
HKCR\dyfuca_bh.bhobj.1
HKCR\interface\(1c01d150-91a4-4de0-9bf8-a35d1bdf1001)
HKCR\typelib\(40b1d454-9ca4-43cc-86aa-cb175eac52fb)
HKCR\AppID\LoaderX.EX
HKLM\software\salm
HKLM\software\microsoft\windows\currentversion\uninstall\salm
kapabout Spyware/Adware
HKLM\software\microsoft\windows\currentversion\uninstall\kapabout
HKLM\software\microsoft\windows\currentversion\uninstall\kapabou

HKCR\aspfile\persistenthandler

peopleonpage Spyware/Adware (load.exe)
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453074934
cpr.exe
cxtpls.exe
popsrv184.exe
profilepath+\local settings\temp\auf0.exe
profilepath+\local settings\temp\autoupdate0\autoupdate.exe
profilepath+\locals~1\temp\autoupdate0\auto_update_install.exe
programfilesdir+\pop\popsrv140.exe
programfilesdir+\pop\popsrv146.exe
programfilesdir+\pop\popsrv205.exe
programfilesdir+\pop\sysmonc.exe
programfilesdir+\pop\sysmong.exe

C:\PROGRAM FILES\POP\POPSRV140.EXE
C:\PROGRAM FILES\POP\\popsrv146.exe
C:\PROGRAM FILES\POP\popsrv205.exe
C:\PROGRAM FILES\POP\sysmonc.exe
C:\PROGRAM FILES\POP\sysmong.exe


sysmonn.exe
sysmono.exe
systemroot+\downloaded program files\aprload.exe
systemroot+\downloaded program files\load.exe
systemroot+\system32\auto_update_uninstall.exe
systemroot+\system32\bi5.exe
systemroot+\windows\system32\auto_update_uninstall.exe

monpop.exe
aprload.exe
pophook4.dll
pophook.dll
load.exe
pop.inf
mybutton.swf
PopSrv.log
PopSrv.old
auf0.exe
apropos.exe
apropos_uninstaller.exe
internetfeatures.exe
ace.dll
AproposPlugin.dll
atl.dll
proxystub.dll
wingenerics.dll
Aproposuninst.ini
Aproposplugin.dll
proxystub.dll
ace.dll
atl.dll
data.bin
libexpat.dll
sysai.exe
uninstaller.exe
wingenerics.dll
Aproposplugin.dll
ProxyStub.dll
LibExpat.dll
AutoUpdate.exe
Aproposplugin.dll
Auto_Update_Uninstall.exe
Auto_update_uninstall.log
CxtPls.dll
CxtPls.exe
dx8iext.exe
rcisp.exe
shmhupnp.exe
sm1ay.exe
wrifo.exe
pophook.dll
sysmong.exe




loesche das mit der Killbox:

C:\WINNT\winsx.inf
C:\WINNT\winsx.dll
C:\WINNT\winsx.cab

C:\WINNT\Downloaded Program Files\aprload.exe
C:\WINNT\Downloaded Program Files\load.exe
C:\WINNT\System32\auto_update_uninstall.exe
C:\Windows\system32\bi5.exe

•Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy-scannlog-->bitte abkopieren und posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 16:42
Member

Themenstarter

Beiträge: 16
#25 Hi Sabina,

hier der Scan von Spybot:


--- Search result list ---
Alexa Related: Verknüpfung (Datei austauschen, nothing done)
C:\WINNT\Web\RELATED.HTM

DyFuCA.InternetOptimizer: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt

DyFuCA.InternetOptimizer: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1123561945-527237240-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt

DyFuCA.InternetOptimizer: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout

EffectiveBandToolbar: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TPUSN


--- Spybot - Search && Destroy version: 1.3 ---
2005-03-03 Includes\Cookies.sbi
2005-04-07 Includes\Dialer.sbi
2005-04-07 Includes\Hijackers.sbi
2005-03-22 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2005-04-07 Includes\Malware.sbi
2005-03-17 Includes\PUPS.sbi
2005-03-17 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-07 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-04-07 Includes\Trojans.sbi


--- System information ---
Windows 2000 (Build: 2195) Service Pack 4
/ Windows 2000 / SP4: Windows 2000 Service Pack 4
/ Windows 2000 / SP5: Windows 2000-Hotfix - KB823559
/ Windows 2000 / SP5: Windows 2000-Hotfix - KB823980
/ Windows 2000 / SP5: Windows 2000-Hotfix - KB824105
/ Windows 2000 / SP5: Windows 2000-Hotfix - KB824146
/ Windows 2000 / SP5: Windows 2000-Hotfix - KB828028


--- Startup entries list ---
Located: HK_LM:Run, ATIPTA
command: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
file: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
size: 335872
MD5: 5440e45c77059566c1e78d0582639afa

Located: HK_LM:Run, ccApp
command: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
file: C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
size: 71256
MD5: 86253fd96f110d9a0fb07fcd0651b9ec

Located: HK_LM:Run, EM_EXEC
command: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
file: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
size: 35328
MD5: 57e2fb5840c197d2014dfc9b4f820f19

Located: HK_LM:Run, NeroCheck
command: C:\WINNT\System32\NeroCheck.exe
file: C:\WINNT\System32\NeroCheck.exe
size: 155648
MD5: 3e4c03cefad8de135263236b61a49c90

Located: HK_LM:Run, NVCLOCK
command: rundll32 nvclock.dll,fnNvclock
file: C:\WINNT\system32\rundll32.exe
size: 10000
MD5: ce6ff54fac44ffde364f1dfc5e59c43e

Located: HK_LM:Run, NvCplDaemon
command: RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
file: C:\WINNT\system32\RUNDLL32.EXE
size: 10000
MD5: ce6ff54fac44ffde364f1dfc5e59c43e

Located: HK_LM:Run, nwiz
command: nwiz.exe /install
file: C:\WINNT\system32\nwiz.exe
size: 372736
MD5: 22d3fc9ebe765a319fccddcd945293e6

Located: HK_LM:Run, OpwareSE2
command: "C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
file: C:\Programme\Canon\ScanSoft\OpwareSE2.exe
size: 49152
MD5: 882539219b40107d5bc0557e0088dd79

Located: HK_LM:Run, SoundMan
command: SOUNDMAN.EXE
file: C:\WINNT\SOUNDMAN.EXE
size: 46592
MD5: f9bfdff7e19127ca836338f4c9236d79

Located: HK_LM:Run, Symantec NetDriver Monitor
command: C:\PROGRA~1\SYMNET~1\SNDMon.exe
file: C:\PROGRA~1\SYMNET~1\SNDMon.exe
size: 95960
MD5: abba14e4513a3eb53194c472d94943d7

Located: HK_LM:Run, Synchronization Manager
command: mobsync.exe /logon
file: C:\WINNT\system32\mobsync.exe
size: 112400
MD5: 029d8bd024795f88fb4c240d6ee656a8

Located: HK_LM:Run, TkBellExe
command: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
file: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
size: 180269
MD5: b8e684df9a97497edd2f87444a6307fb

Located: HK_LM:Run, URLLSTCK.exe
command: C:\Programme\Norton Internet Security\UrlLstCk.exe
file: C:\Programme\Norton Internet Security\UrlLstCk.exe
size: 70760
MD5: 385b3c945034f537a30ab5bcccd54451

Located: HK_LM:Run, zBrowser Launcher
command: C:\Programme\Logitech\iTouch\iTouch.exe
file: C:\Programme\Logitech\iTouch\iTouch.exe
size: 200704
MD5: f48aeee4b9b707eaecdee2f5ab4a09e4

Located: Startup (allgemein), Acrobat Assistant.lnk
command: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
file: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
size: 49254
MD5: 0e6e43d31ac16bcf682eb5f63178c492

Located: Startup (allgemein), Adobe Gamma Loader.lnk
command: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
file: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
size: 110592
MD5: 5cd0cd0ec4dc5df459b3ac016764f5aa

Located: Startup (allgemein), klickTel Januar 2004 - Schnellstarter.lnk
command: C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
file: C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
size: 439808
MD5: 9e11cc89a3be812cd7db2a379fc730f6

Located: Startup (allgemein), Microsoft Office.lnk
command: C:\Programme\Microsoft Office\Office\OSA9.EXE
file: C:\Programme\Microsoft Office\Office\OSA9.EXE
size: 65588
MD5: f32d7e9c2c8010970c5f2badb47238f6



--- Browser helper object list ---
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
BHO name:
CLSID name: AcroIEHlprObj Class
description: Adobe Acrobat reader
classification: Legitimate
known filename: AcroIEhelper.ocx<br>AcroIEhelper.dll
info link: http://www.adobe.com/products/acrobat/readstep2.html
info source: TonyKlein
Path: C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\
Long name: AcroIEHelper.ocx
Short name: ACROIE~1.OCX
Date (created): 18.05.2003 17:37:44
Date (last access): 11.04.2005 15:09:46
Date (last write): 02.03.2001 12:02:04
Filesize: 37808
Attributes: archive
MD5: 8394ABFC1BE196A62C9F532511936DF7
CRC32: 71D6E350
Version: 0.1.0.0

{53707962-6F74-2D53-2644-206D7942484F} ()
BHO name:
CLSID name:
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDhelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: C:\Programme\Spybot - Search & Destroy\
Long name: SDHelper.dll
Short name:
Date (created): 12.05.2004 01:03:00
Date (last access): 11.04.2005 16:26:54
Date (last write): 12.05.2004 01:03:00
Filesize: 744960
Attributes: archive
MD5: ABF5BA518C6A5ED104496FF42D19AD88
CRC32: 5587736E
Version: 0.1.0.3

{9ECB9560-04F9-4bbc-943D-298DDF1699E1} (Web assistant)
BHO name: Web assistant
CLSID name: CNisExtBho Class
description: NIS 2004,
classification: Legitimate
known filename: NISShExt.dll
info link: http://www.symantec.com/sabu/nis/nis_pe/
info source: TonyKlein
Path: C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\
Long name: NISShExt.dll
Short name:
Date (created): 08.09.2003 05:04:50
Date (last access): 11.04.2005 16:09:54
Date (last write): 08.09.2003 05:04:50
Filesize: 131072
Attributes: archive
MD5: 8C76C5208FED08593A4A501CD9FCFF07
CRC32: 2623133D
Version: 0.7.0.0

{BDF3E430-B101-42AD-A544-FADC6B084872} (NAV Helper)
BHO name: NAV Helper
CLSID name: CNavExtBho Class
description: Norton Antivirus
classification: Legitimate
known filename: NavShExt.dll
info link: http://www.symantec.com/nav/nav_9xnt/
info source: TonyKlein
Path: C:\Programme\Norton Internet Security\Norton AntiVirus\
Long name: NAVSHEXT.DLL
Short name:
Date (created): 31.08.2004 12:06:54
Date (last access): 11.04.2005 15:09:46
Date (last write): 04.12.2003 20:00:24
Filesize: 103344
Attributes: archive
MD5: 7AE2B80D8550B7018F8DAE53FD80B07A
CRC32: 4095FBAC
Version: 0.10.0.0



--- ActiveX list ---
DirectAnimation Java Classes (DirectAnimation Java Classes)
DPF name: DirectAnimation Java Classes
CLSID name:
description:
classification: Legitimate
known filename: %WINDIR%\Java\classes\dajava.cab
info link:
info source: Patrick M. Kolla

Microsoft XML Parser for Java (Microsoft XML Parser for Java)
DPF name: Microsoft XML Parser for Java
CLSID name:
description:
classification: Legitimate
known filename: %WINDIR%\Java\classes\xmldso.cab
info link:
info source: Patrick M. Kolla

{56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class)
DPF name:
CLSID name: RdxIE Class
description: Netster
classification: Confirmed as malware
known filename:
info link:
info source:
Path: C:\WINNT\Downloaded Program Files\
Long name: RdxIE.dll
Short name:
Date (created): 03.06.2004 11:04:14
Date (last access): 11.04.2005 16:30:02
Date (last write): 03.06.2004 11:04:14
Filesize: 524445
Attributes: archive
MD5: C89FDE91B6CDAA66A0468276CF973B2C
CRC32: E63302C6
Version: 0.6.0.0

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)
DPF name:
CLSID name: ActiveScan Installer Class
Path: C:\WINNT\Downloaded Program Files\
Long name: asinst.dll
Short name:
Date (created): 08.02.2005 10:52:16
Date (last access): 11.04.2005 16:30:02
Date (last write): 08.02.2005 10:52:16
Filesize: 110592
Attributes: archive
MD5: D90D6B26641FED8E743E8E78F71F0C09
CRC32: C1BA2509
Version: 0.57.0.5

{A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object)
DPF name:
CLSID name: CRAVOnline Object
Path: C:\WINNT\Downloaded Program Files\
Long name: ravonline.dll
Short name: RAVONL~1.DLL
Date (created): 04.09.2003 15:00:22
Date (last access): 11.04.2005 16:30:02
Date (last write): 04.09.2003 15:00:22
Filesize: 200704
Attributes: archive
MD5: C8D24EB364FB71B810FAFB5222E55F1B
CRC32: 81A19FC7
Version: 0.1.0.1

{C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class)
DPF name:
CLSID name: Symantec RuFSI Registry Information Class
description: Symantec RuFSI Registry Information Class
classification: Legitimate
known filename: RUFSI.DLL
info link:
info source: Patrick M. Kolla
Path: C:\WINNT\Downloaded Program Files\
Long name: rufsi.dll
Short name:
Date (created): 03.06.2004 11:19:22
Date (last access): 11.04.2005 16:30:02
Date (last write): 03.06.2004 11:19:22
Filesize: 160928
Attributes: archive
MD5: 12D9D01A82190E56CAB50B8232388282
CRC32: 862514A3
Version: 7.212.0.5

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
DPF name:
CLSID name: Shockwave Flash Object
description: Macromedia Shockwave Flash Player
classification: Legitimate
known filename:
info link:
info source: Patrick M. Kolla
Path: C:\WINNT\System32\macromed\flash\
Long name: Flash.ocx
Short name:
Date (created): 24.02.2003 16:20:36
Date (last access): 11.04.2005 16:21:54
Date (last write): 24.02.2003 16:20:36
Filesize: 827392
Attributes: archive
MD5: E61DB5468D6CCC46397C1A918C1A1AA4
CRC32: 9B8420BD
Version: 0.6.0.0



--- Process list ---
Spybot - Search && Destroy process list report, 11.04.2005 16:34:31

PID: 0 ( 0) [System]
PID: 8 ( 0) System
PID: 148 ( 8) \SystemRoot\System32\smss.exe
PID: 172 ( 148) \??\C:\WINNT\system32\winlogon.exe
PID: 176 ( 148) CSRSS.EXE
PID: 220 ( 172) C:\WINNT\system32\Ati2evxx.exe
PID: 224 ( 172) C:\WINNT\system32\services.exe
PID: 236 ( 172) C:\WINNT\system32\lsass.exe
PID: 348 ( 224) C:\WINNT\system32\Ati2evxx.exe
PID: 420 ( 224) C:\WINNT\system32\svchost.exe
PID: 436 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
PID: 472 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
PID: 520 (1380) C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
PID: 532 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
PID: 664 ( 224) C:\WINNT\system32\spoolsv.exe
PID: 704 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
PID: 736 ( 224) C:\WINNT\System32\svchost.exe
PID: 816 ( 224) C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
PID: 904 ( 224) C:\WINNT\system32\regsvc.exe
PID: 928 ( 224) C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
PID: 956 ( 224) C:\WINNT\system32\MSTask.exe
PID: 1008 ( 224) C:\WINNT\system32\stisvc.exe
PID: 1020 ( 520) C:\Programme\Internet Explorer\iexplore.exe
PID: 1060 ( 224) C:\WINNT\System32\WBEM\WinMgmt.exe
PID: 1160 ( 224) C:\WINNT\system32\svchost.exe
PID: 1340 (1380) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
PID: 1356 (1380) C:\Programme\Canon\ScanSoft\OpwareSE2.exe
PID: 1380 ( 708) C:\WINNT\Explorer.EXE
PID: 1400 ( 984) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
PID: 1408 (1380) C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
PID: 1424 (1380) C:\WINNT\SOUNDMAN.EXE
PID: 1440 (1380) C:\Programme\Logitech\iTouch\iTouch.exe
PID: 1456 (1380) C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
PID: 1464 (1380) C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
PID: 1496 (1380) C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
PID: 1508 (1160) C:\WINNT\system32\wuauclt.exe
PID: 1820 ( 420) C:\WINNT\msagent\AgentSvr.exe


--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 11.04.2005 16:34:31

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINNT\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.google.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.google.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.google.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.google.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://www.google.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.google.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{88F326EC-8CA8-4EA5-9EC8-30E5CB8EDB78}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{88F326EC-8CA8-4EA5-9EC8-30E5CB8EDB78}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C3106CD-E18B-4E85-B8BE-0B1F9D3E5299}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C3106CD-E18B-4E85-B8BE-0B1F9D3E5299}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABC592BC-623C-4E4B-8B75-30B02EEA8A63}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABC592BC-623C-4E4B-8B75-30B02EEA8A63}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D0D3BA94-1DCB-4340-8DC3-BFA1FC7B6542}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D0D3BA94-1DCB-4340-8DC3-BFA1FC7B6542}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\msafd.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\rnr20.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS


Ich bin auf den Button "Probleme beheben" gegangen und habe einen neuen Scan gemacht:


--- Search result list ---
Gratulation!: Es wurden keine Spione gefunden. ()

Leider funktioniert die rechte Maustaste immer noch nicht. Ich habe übrigens auch mal eine andere Maus installiert, aber auch das ging nicht.

Meinst Du nicht, es wäre besser, zu formatieren und Windows neu zu installieren? Das ganze kostet mittlerweile jede Menge Zeit.

Ach ja, eine load.exe kann ich nirgens finden. Ich habe diese mit der Killbox gelöscht, aber wie gesagt, es funktioniert immer noch nicht alles, wie es sollte.

Ich muss jetzt leider wieder weg, melde mich morgen früh. Vielleicht weisst Du ja noch was, was ich machen kann.

Auf alle Fälle: Vielen, vielen Dank für Deine Mühe. Auch wenn es immer noch nicht klappt, habe ich einiges dazu gelernt.

Grüße
pepsen
Seitenanfang Seitenende
11.04.2005, 17:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Hallo@ pepsen

die Schluessel, die zu Entfernen sind (aus der Registry) siehst du oben im Log von Spybot

Wenn das mit der rechten Maustaste nicht mehr geht, dann ist irgendein Schluessel in der Registry umgestellt (ich hab schon im Net gesucht, aber ich finde nichts darueber )

Wahrscheinlich ist es doch das beste, wenn du formatierst ...schade, ich haette das gern geloest

versuch es noch mal mit diesem Tool--> da kann man die maus umstellen



#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 21:49
Member

Beiträge: 24
#27 Hallo zusammen!

Neu aufsetzen nur wegen dem fehlenden Mausrechtsklick ist nicht nötig! Das geht viel einfacher so:

Unter

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
Bei 1 kommt kein Display-Menü mehr beim Klick mit der rechten Maustaste auf den Desktop oder Explorer. Bei NT 4.0 erst ab Service Pack 2 vorhanden.
NoViewContextMenu REG_DWORD Boolean 0

Möglicherweise muss das unter "HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer" wiederholt werden.

Hier ist alles zu dem Thema

http://www.winfaq.de/faq_html/tip0808.htm

Viel Erfolg!
Ganzneuer

P.S.: Was aber leider nicht drin steht ist, wie man die Desktopanzeige (Hintergrundbild) ändern kann. Das ist bei mir ausgegraut.
Zum Vergleich habe ich ein Testbenutzerkonto unter XP SP1 eingerichtet, und da ging alles. Die Einstellungen mit TuneUp 2004 auf den Hauptnamen kopiert, und das Hintergrundbild war da, nicht aber die Möglichkeit, das vom Hauptkonto aus zu ändern.

Weiß da wer was? Wäre schön.
Seitenanfang Seitenende
12.04.2005, 13:40
Member

Themenstarter

Beiträge: 16
#28 Hallo Ganzneuer,

vielen dank für Deinen Tipp, die beiden Keys (NoviewContexMenu) standen auf 2, habe sie nun auf 0 gestellt, aber leider funktioniert es immer noch nicht.

Da Problem mit der rechten Maustaste ist übrigens nicht nur auf dem Desktop, ich kann generell keine Datei mit rechts anklicken, so dass ein Kontexmenü kommt.

Ausserdem erstellen sich auf dem Desktop immer zwei Icons, von denen ich immer nur ein löschen kann.

Ich habe auch das Prog Registry System Wizard ausprobiert, aber auch das hat leider nicht geholfen.

Kannst Du mit dem Eintrag ForceActiveDesktopOn, REG_DWORD, Wert: 0x00000002 was anfangen?

Würde mich sehr freuen, wenn Du mir weiterhelfen könntest.



@ Sabina,

hallo Sabina, habe das TuneUp ausprobiert, dass hat aber leider auch nicht geholfen.

Ich danke Dir für Deine viele Mühe!
Seitenanfang Seitenende
12.04.2005, 15:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Hallo@pepsen

gehe mal mit rechtsklick auf diese zwei Ikone -->Eigenschaften und poste, was du dort findest
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2005, 15:36
Member

Themenstarter

Beiträge: 16
#30 Hallo Sabina,

übrigens, ich kann die rechte Maustaste wieder benutzen!!! Der Tipp von
"Ganzneuer" war prima!!!!

@ GANZNEUER! VIELEN; VIELEN DANK!!!! Hatte vergessen zu rebooten, sorry!!!

Mit den Icons habe ich immer noch das gleiche Problem.

Das eine Icon ist "normal" mit allen Eigenschaften (Kontexmenü), bei dem anderen Icon ist folgendes:

Ort: C:\Desktop (aber da ist nichts)
Größe: 0 Byte
alles andere ist leer

Zieltyp: Dies ist keine gültige Verknüpfung
alle anderen Felder sind leer.

Gibt es hier auch einen Regkey, den ich überprüfen kann?

VIELEN DANK FÜR EURE HILFE!

Grüße
pepsen[/img]
Seitenanfang Seitenende