F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe

#0
11.04.2005, 20:41
Member

Beiträge: 26
#1 Hallo,
habe mal wieder ein Problem mit diesem Computer durch meinen netten bruder der es immer schafft neue Spyware auf den PC zu machen *nerv*

ich hab schon versucht das ganze mit adaware und der Hijack this seite zu beheben. aber wenn ich die O10 einträge löschen will, kommt eine meldung ich solle lspfix installieren. Hätte ich es damit getan, wenn ich dieses Programm über den PC laufen lasse? Ich habs schon runtergeladen, aber ich bin nicht sicher ob es für meine Zwecke das richtige ist?

Wäre lieb wenn mir mal jemand über mein Logfile schaut und sagt was ich zu machen habe:

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\WINDOWS\System32\LXSUPMON.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\explorer.exe
d:\windows\system32\ifzsmeh.exe
D:\WINDOWS\explorer.exe
C:\hijack this\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [kcdntmq] d:\windows\system32\ifzsmeh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe
Seitenanfang Seitenende
11.04.2005, 20:51
Member
Avatar Malkesh

Beiträge: 669
#2 http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm

Dieses Tool ist für O10 Winsock LSP Einträge. Englische Anleitung sollte soweit verständlich sein. Wichtig: nur die Datei aklsp.dll mit dem LSP Fix entfernen! Die dazu gehörige Datei kann nach der Prozedur manuell gelöscht werden (aber erst danach!)

Hast du dein Logfile schon automatisch bei www.hijackthis.de auswerten lasswen? Wenn ja, sollten dir noch ein paar andere Einträge auffallen, die du unter die Lupe nehmen solltest.

Des weiteren lies dir einmal diesen Thread hier durch (auch was die Absicherung deines Systems betrifft):
http://board.protecus.de/t16317.htm
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
11.04.2005, 20:55
Member

Themenstarter

Beiträge: 26
#3 danke erstmal.
ja außer den o10 Einträgen sind auch andere die ich fixen sollte dabei. hab ich auch schon. Aber sie tauchen immer wieder auf und die Systemwiederherstellung hab ich auch schon abgeschaltet.

Edit:
Also mein neuses Logfile sieht jetzt so aus:
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.exe
D:\WINDOWS\System32\LXSUPMON.EXE
D:\WINDOWS\System32\ctfmon.exe
d:\windows\system32\xtftnr.exe
D:\WINDOWS\System32\svchost.exe
C:\hijack this\hijackthis_199\HijackThis.exe
D:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [gxyjbsj] d:\windows\system32\xtftnr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe
Dieser Beitrag wurde am 11.04.2005 um 21:08 Uhr von EvaG editiert.
Seitenanfang Seitenende
12.04.2005, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@EvaG

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\svcproc.exe
D:\WINDOWS\Nail.exe


Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/

D:\WINDOWS\svcproc.exe
D:\WINDOWS\Nail.exe


Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

-------------------------------------------------------------------------------------------

Gehe in die Registry

Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> D:\WINDOWS\Nail.exe


schliesse die Registry

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [gxyjbsj] d:\windows\system32\xtftnr.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

D:\WINDOWS\Nail.exe
d:\windows\system32\ifzsmeh.exe
d:\windows\system32\xtftnr.exe
D:\WINDOWS\svcproc.exe
D:\WINDOWS\ieyb.exe
D:\Programme\Security iGuard\Security iGuard.exe

PC neustarten

D:\Programme\Security iGuard\<--loeschen
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe<--deinstallieren

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscann mit dem Antivirus


gehe wieder in den Normalmodus + poste mir den Report vom Scann

--------------------------

AdAware-VX2 Cleaner-->poste mir das Log vom Scann
# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.


L2mfix

1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren Wink

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2005, 19:18
Member

Themenstarter

Beiträge: 26
#5 Danke für die Hilfe.
Also ich fange dann mal an. Hier sind die ersten Ergebnisse. Wenn ich neue teile hab editier ichs hier rein.

Datei: svcproc.exe
Antivirus Version Update Result
AntiVir 6.30.0.7 04.12.2005 no virus found
AVG 718 04.12.2005 no virus found
BitDefender 7.0 04.12.2005 no virus found
ClamAV devel-20050307 04.12.2005 no virus found
DrWeb 4.32b 04.12.2005 no virus found
eTrust-Iris 7.1.194.0 04.12.2005 no virus found
eTrust-Vet 11.7.0.0 04.12.2005 no virus found
Fortinet 2.51 04.12.2005 no virus found
F-Prot 3.16a 04.12.2005 no virus found
Ikarus 2.32 04.12.2005 no virus found
Kaspersky 4.0.2.24 04.12.2005 Trojan.Win32.Stervis.b
McAfee 4467 04.12.2005 no virus found
NOD32v2 1.1058 04.12.2005 no virus found
Norman 5.70.10 04.12.2005 no virus found
Panda 8.02.00 04.11.2005 no virus found
Sybari 7.5.1314 04.12.2005 Trojan.Win32.Stervis.b
Symantec 8.0 04.11.2005 no virus found

Datei: Nail.exe
Antivirus Version Update Result
AntiVir 6.30.0.7 04.12.2005 no virus found
AVG 718 04.12.2005 no virus found
BitDefender 7.0 04.12.2005 no virus found
ClamAV devel-20050307 04.12.2005 no virus found
DrWeb 4.32b 04.12.2005 Trojan.Nail
eTrust-Iris 7.1.194.0 04.12.2005 no virus found
eTrust-Vet 11.7.0.0 04.12.2005 no virus found
Fortinet 2.51 04.12.2005 no virus found
F-Prot 3.16a 04.12.2005 no virus found
Ikarus 2.32 04.12.2005 no virus found
Kaspersky 4.0.2.24 04.12.2005 no virus found
McAfee 4467 04.12.2005 no virus found
NOD32v2 1.1058 04.12.2005 no virus found
Norman 5.70.10 04.12.2005 no virus found
Panda 8.02.00 04.11.2005 Bck/Nail.A
Sybari 7.5.1314 04.12.2005 Troj/Dloader-LI
Symantec 8.0 04.11.2005 no virus found


Datei: svcproc.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPX

AntiVir Keine Viren gefunden
Avast Win32:Trojano-1211 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Stervis.b gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: Nail.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPX

AntiVir Keine Viren gefunden
Avast Win32:Trojano-1212 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Nail gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Win32.4 gefunden (mögliche Variante)
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SvcProc" 12.04.2005 19:23:07

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000\Control]
"ActiveService"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum]
"0"="Root\\LEGACY_SVCPROC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control]
"ActiveService"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum]
"0"="Root\\LEGACY_SVCPROC\\0000"

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "11Fßä#·ºÄÖ`I" 12.04.2005 19:29:01

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]
Dieser Beitrag wurde am 12.04.2005 um 19:32 Uhr von EvaG editiert.
Seitenanfang Seitenende
12.04.2005, 19:35
Moderator

Beiträge: 7805
#6 Hilfe bringt dir teilweise das, tippe unter Start/Ausfuehren folgendes ein:

D:\WINDOWS\Nail.exe /FullRemove

druecke dann enter. Spybot und Adaware sollten auh noch was entfernen koenen, wenn sie aktuell sind. Z.B. den Security iGuard
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.04.2005, 20:34
Member

Themenstarter

Beiträge: 26
#7 danke. Wrd ich machen, wenn ich die Liste oben durch bin und das noch nicht komplett geholfen hat.

Im Moment bin ich gerade beiAntivirus. Hab es runtergeladen, alle einstellungen so gemacht wie sie oben stehen und das Programm im abgesicherten Modus geöffnet. Aber ich kann den Scan nicht starten. Wenn ich auch "Suche" klicke (So startet man doch den Scan?) funktioniert es nicht, besser gesagt es ist nicht anklickbar so wie die anderen buttons, weil scheinbar irgendeine Einstellung oderso noch nicht stimmt? Oder ist der Scan das was ganz kurz am Anfang läuft, wenn man das Programm öffnet?
Seitenanfang Seitenende
12.04.2005, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@

Gehe in den abgesicherten Modus.-->

Gehe in die Registry

Start<Ausfuehren--> regedit

Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

dann:pC neustarten --> wieder in den abgesicherten modus

Antivirus
Klicke auf "diese "Lupe"



wenn der scann fertig ist (poste mir den Scannreport )mache einen Onlinscann:

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
(poste dann das Ergebnis vom SCann)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2005, 14:55
Member

Themenstarter

Beiträge: 26
#9 danke für die vielen tips usw, aber das Problem ist, dass ich nicht auf die Lupe klicken kann. Die Lupe ist bei mir nämlich grau, also nicht anklickbar. Die anderen Buttons sind alle anklickbar und bunt, nur eben die Lupe nicht. Woran kann das liegen?
Seitenanfang Seitenende
15.04.2005, 01:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@EvaG

Deinstalliere den Antivirus wieder

# avast! 4 Home Edition (free)
Lade von der Originalseite:
avast! 4 Home Edition
http://www.avast.com/eng/avast_4_home.html

nach der Installation wird ein Bootsscann angeboten-->klicke "yes"

und poste das neue Log vom HijackTHis (und berichte, ob was geloescht wurde)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2005, 19:20
Member

Themenstarter

Beiträge: 26
#11 Also bei dem Bootscann wurde was gelöscht. kann dir jetzt aber nicht genau schreiben was, weil ich nirgendwo einen bericht davon gefunden habe.
Jedenfalls hier mein Logfile

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.exe
D:\WINDOWS\System32\LXSUPMON.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\hijack this\hijackthis_199\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WeatherCast] "D:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

Scheint immer noch befallen zu sein. Aber wenn ich den PC starte, kommt am anfang immer eine Meldung mit irgendwas von "Nail.exe konnte nicht gefunden werden".

Also, ich arbeite dann jetzt erstmal die Liste weiter ab.
das mit dem adaware vx2 cleaner hab ich eben gemacht, aber da stand immer nur status system clean. Heißt das jetzt, dass ich keine vx2 objekte auf dem PC hab, oder hab ich nur zu schnell das Programm wieder geschlossen, bin mir nämlich nicht sicher ob das schon das endergebnis war?

Hier ist das Ergebnis von L2mfix:

L2MFIX find log 1.02b
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{4C85FE78-BE68-E90D-6307-61AFA68B6D27}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{B8323370-FF27-11D2-97B6-204C4F4F5020}"="SmartFTP Shell Extension DLL"
"{FA6CE273-3338-4E56-976C-AB489038C876}"=""
"{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"=""
"{8845A646-4CAC-4879-9278-647CA9BDCD5B}"=""
"{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"=""
"{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"=""
"{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"=""
"{42800478-0B08-4938-B925-A063E58D4EC7}"=""
"{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"=""
"{AAA1FF69-68C9-4719-A105-B278BF20A194}"=""
"{B3E0A44F-A43E-41F0-A856-D923619D3B81}"=""
"{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"=""
"{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"=""
"{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"=""
"{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"=""
"{472083B0-C522-11CF-8763-00608CC02F24}"="avast"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}]
@=""
"IDEx"="VT00"

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\InprocServer32]
@="D:\\WINDOWS\\system32\\dkkquoui.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\InprocServer32]
@="D:\\WINDOWS\\system32\\dzkquoui.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\InprocServer32]
@="D:\\WINDOWS\\system32\\bptsprx2.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\InprocServer32]
@="D:\\WINDOWS\\system32\\sQfrcdlg.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\InprocServer32]
@="D:\\WINDOWS\\system32\\vefidl32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\InprocServer32]
@="D:\\WINDOWS\\system32\\scvsvc.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\InprocServer32]
@="D:\\WINDOWS\\system32\\dwscript.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\InprocServer32]
@="D:\\WINDOWS\\system32\\dyuiext.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\InprocServer32]
@="D:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\InprocServer32]
@="D:\\WINDOWS\\system32\\wywfax.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\InprocServer32]
@="D:\\WINDOWS\\system32\\tyappcmp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\InprocServer32]
@="D:\\WINDOWS\\system32\\kedtuf.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\InprocServer32]
@="D:\\WINDOWS\\system32\\dsiman32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\InprocServer32]
@="D:\\WINDOWS\\system32\\Agdiodev.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

D:\WINDOWS\SYSTEM32\
agdiodev.dll Sun 10 Apr 2005 9:38:10 ..S.R 233.739 228,26 K
bptsprx2.dll Mon 4 Apr 2005 17:47:56 ..S.R 233.460 227,99 K
dsiman32.dll Sun 10 Apr 2005 7:47:46 ..S.R 236.113 230,58 K
dwewp.dll Wed 9 Mar 2005 12:03:00 A.... 66.560 65,00 K
dwscript.dll Thu 7 Apr 2005 13:46:16 ..S.R 233.460 227,99 K
dyuiext.dll Thu 7 Apr 2005 7:19:58 ..S.R 234.413 228,92 K
dzkquoui.dll Mon 4 Apr 2005 17:03:14 ..... 233.248 227,78 K
f40o0e~1.dll Sun 10 Apr 2005 7:48:10 ..S.R 232.881 227,42 K
fdtrg.dll Fri 4 Mar 2005 13:41:22 A.... 66.560 65,00 K
guqfq.dll Thu 3 Mar 2005 12:29:52 A.... 66.560 65,00 K
iuohj.dll Mon 7 Mar 2005 21:13:36 A.... 66.560 65,00 K
kedtuf.dll Fri 8 Apr 2005 23:40:42 ..S.R 234.413 228,92 K
mvvaw.dll Fri 25 Feb 2005 11:14:56 A.... 66.560 65,00 K
nruev.dll Mon 7 Mar 2005 13:25:34 A.... 66.560 65,00 K
scvsvc.dll Wed 6 Apr 2005 15:58:28 ..S.R 234.235 228,74 K
sqfrcdlg.dll Tue 5 Apr 2005 11:33:08 ..S.R 234.235 228,74 K
tyappcmp.dll Fri 8 Apr 2005 12:34:46 ..S.R 233.460 227,99 K
vefidl32.dll Wed 6 Apr 2005 12:13:14 ..S.R 233.460 227,99 K
wywfax.dll Fri 8 Apr 2005 7:01:02 ..S.R 234.413 228,92 K
yhyhd.dll Fri 18 Mar 2005 8:04:10 A.... 66.560 65,00 K

20 items found: 20 files (12 H/S), 0 directories.
Total of file sizes: 3.507.450 bytes 3,34 M
Locate .tmp files:

D:\WINDOWS\SYSTEM32\
guard.tmp Sun 10 Apr 2005 11:51:12 ..S.R 233.739 228,26 K

1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 233.739 bytes 228,26 K
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: EC98-D2F6

Verzeichnis von D:\WINDOWS\System32

10.04.2005 11:51 233.739 guard.tmp
10.04.2005 09:38 233.739 Agdiodev.dll
10.04.2005 07:48 232.881 f40o0ed3eh0.dll
10.04.2005 07:47 236.113 dsiman32.dll
08.04.2005 23:40 234.413 kedtuf.dll
08.04.2005 12:34 233.460 tyappcmp.dll
08.04.2005 07:01 234.413 wywfax.dll
07.04.2005 13:46 233.460 dwscript.dll
07.04.2005 07:19 234.413 dyuiext.dll
06.04.2005 15:58 234.235 scvsvc.dll
06.04.2005 12:13 233.460 vefidl32.dll
05.04.2005 11:33 234.235 sQfrcdlg.dll
04.04.2005 17:47 233.460 bptsprx2.dll
04.04.2005 15:19 81.920 sdtn.exe
28.03.2005 15:59 417.792 n?tepad.exe
07.02.2005 11:51 <DIR> dllcache
15 Datei(en) 3.541.733 Bytes
1 Verzeichnis(se), 850.378.752 Bytes frei

Edit: Darf ich jetzt den Schritt mit der 2 Eintippen machen oder nicht? weil da in der beschreibung ja steht man dürfe es nur machen, wenn man aufgefordert wird. Oder hab ich das jetzt falsch verstanden?
Dieser Beitrag wurde am 16.04.2005 um 19:23 Uhr von EvaG editiert.
Seitenanfang Seitenende
16.04.2005, 20:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@EvaG

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe-> loeschen:--> D:\WINDOWS\Nail.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)

neustarten


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

D:\WINDOWS\VT00.exe
D:\WINDOWS\Nail.exe
D:\WINDOWS\ieyb.exe
D:\WINDOWS\System32\guard.tmp
D:\WINDOWS\System32\Agdiodev.dll
D:\WINDOWS\System32\f40o0ed3eh0.dll
D:\WINDOWS\System32\dsiman32.dll
D:\WINDOWS\System32\kedtuf.dll
D:\WINDOWS\System32\tyappcmp.dll
D:\WINDOWS\System32\wywfax.dll
D:\WINDOWS\system32\dzkquoui.dll
D:\WINDOWS\System32\dwscript.dll
D:\WINDOWS\System32\dyuiext.dll
D:\WINDOWS\\system32\dsiman32.dll
D:\WINDOWS\System32\scvsvc.dll
D:\WINDOWS\System32\vefidl32.dll
D:\WINDOWS\System32\sQfrcdlg.dll
D:\WINDOWS\System32\bptsprx2.dll
D:\WINDOWS\System32\sdtn.exe
D:\WINDOWS\system32\tyappcmp.dll
D:\WINDOWS\System32\n?tepad.exe

neustarten

•AdAware-VX2
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
AdAware-VX2 Cleaner
# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.

scanne noch mal mit L2MFIX (die zwei Runden komplett)-->bitte alles posten+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2005, 22:43
Member

Themenstarter

Beiträge: 26
#13 Ich hab jetzt das mit dem Adavare VX2 nochmal gemacht. Aber wenn ich den VX2 Cleaner laufen lasse, seteht da immer Status system clean. Wenn ich dann aber das normale Adaware drüber laufen lasse, findet er auch VX2 Teile. Die hab ich jetzt gelöscht (und was sonst noch so gefunden wurde) und hab neu gestartet und dann nochmal das mit l2mfix gemacht. Hier das logfile:


L2MFIX find log 1.02b
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{4C85FE78-BE68-E90D-6307-61AFA68B6D27}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{B8323370-FF27-11D2-97B6-204C4F4F5020}"="SmartFTP Shell Extension DLL"
"{FA6CE273-3338-4E56-976C-AB489038C876}"=""
"{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"=""
"{8845A646-4CAC-4879-9278-647CA9BDCD5B}"=""
"{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"=""
"{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"=""
"{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"=""
"{42800478-0B08-4938-B925-A063E58D4EC7}"=""
"{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"=""
"{AAA1FF69-68C9-4719-A105-B278BF20A194}"=""
"{B3E0A44F-A43E-41F0-A856-D923619D3B81}"=""
"{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"=""
"{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"=""
"{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"=""
"{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"=""
"{472083B0-C522-11CF-8763-00608CC02F24}"="avast"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}]
@=""
"IDEx"="VT00"

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\InprocServer32]
@="D:\\WINDOWS\\system32\\dkkquoui.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\InprocServer32]
@="D:\\WINDOWS\\system32\\dzkquoui.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\InprocServer32]
@="D:\\WINDOWS\\system32\\bptsprx2.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\InprocServer32]
@="D:\\WINDOWS\\system32\\sQfrcdlg.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\InprocServer32]
@="D:\\WINDOWS\\system32\\vefidl32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\InprocServer32]
@="D:\\WINDOWS\\system32\\scvsvc.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\InprocServer32]
@="D:\\WINDOWS\\system32\\dwscript.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\InprocServer32]
@="D:\\WINDOWS\\system32\\dyuiext.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\InprocServer32]
@="D:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\InprocServer32]
@="D:\\WINDOWS\\system32\\wywfax.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\InprocServer32]
@="D:\\WINDOWS\\system32\\tyappcmp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\InprocServer32]
@="D:\\WINDOWS\\system32\\kedtuf.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\InprocServer32]
@="D:\\WINDOWS\\system32\\dsiman32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\InprocServer32]
@="D:\\WINDOWS\\system32\\Agdiodev.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

D:\WINDOWS\SYSTEM32\
dwewp.dll Wed 9 Mar 2005 12:03:00 A.... 66.560 65,00 K
fdtrg.dll Fri 4 Mar 2005 13:41:22 A.... 66.560 65,00 K
guqfq.dll Thu 3 Mar 2005 12:29:52 A.... 66.560 65,00 K
iuohj.dll Mon 7 Mar 2005 21:13:36 A.... 66.560 65,00 K
mvvaw.dll Fri 25 Feb 2005 11:14:56 A.... 66.560 65,00 K
nruev.dll Mon 7 Mar 2005 13:25:34 A.... 66.560 65,00 K
yhyhd.dll Fri 18 Mar 2005 8:04:10 A.... 66.560 65,00 K

7 items found: 7 files, 0 directories.
Total of file sizes: 465.920 bytes 455,00 K
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: EC98-D2F6

Verzeichnis von D:\WINDOWS\System32

28.03.2005 15:59 417.792 n?tepad.exe
07.02.2005 11:51 <DIR> dllcache
1 Datei(en) 417.792 Bytes
1 Verzeichnis(se), 990.961.664 Bytes frei




-------------------------



L2Mfix 1.02b

Running From:
D:\DOKUME~1\alle\Desktop\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C access for really "Everyone"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- Jeder
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting up for Reboot


Starting Reboot!

D:\Dokumente und Einstellungen\alle\Desktop\l2mfix
System Rebooted!

Running From:
D:\Dokumente und Einstellungen\alle\Desktop\l2mfix

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1104 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (164 bytes security) (deflated 67%)
adding: echo.reg (164 bytes security) (deflated 10%)
adding: direct.txt (164 bytes security) (stored 0%)
adding: lo2.txt (164 bytes security) (deflated 70%)
adding: readme.txt (164 bytes security) (deflated 49%)
adding: report.txt (164 bytes security) (deflated 69%)
adding: test.txt (164 bytes security) (deflated 42%)
adding: test2.txt (164 bytes security) (deflated 47%)
adding: test3.txt (164 bytes security) (deflated 47%)
adding: test5.txt (164 bytes security) (deflated 47%)
adding: backregs/00E0410B-6BC0-4654-8DED-20EF5CB9A558.reg (164 bytes security) (deflated 70%)
adding: backregs/3C8F444C-5101-4306-BF6C-BE1BD4ED32C0.reg (164 bytes security) (deflated 70%)
adding: backregs/42800478-0B08-4938-B925-A063E58D4EC7.reg (164 bytes security) (deflated 70%)
adding: backregs/48EFA595-DBEF-4FC6-85DA-A266A10874AB.reg (164 bytes security) (deflated 70%)
adding: backregs/4D23E0FB-B853-4BDA-8A86-B2D87DE652D9.reg (164 bytes security) (deflated 70%)
adding: backregs/7ED821E7-841D-46BD-B938-4C439EC6D2B0.reg (164 bytes security) (deflated 70%)
adding: backregs/8845A646-4CAC-4879-9278-647CA9BDCD5B.reg (164 bytes security) (deflated 70%)
adding: backregs/AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489.reg (164 bytes security) (deflated 70%)
adding: backregs/AAA1FF69-68C9-4719-A105-B278BF20A194.reg (164 bytes security) (deflated 70%)
adding: backregs/B3E0A44F-A43E-41F0-A856-D923619D3B81.reg (164 bytes security) (deflated 70%)
adding: backregs/B830E6B2-3BD7-4FE2-9D60-C4C00D581865.reg (164 bytes security) (deflated 70%)
adding: backregs/C1C7BF9C-97CB-482F-AAFD-F716C65A905B.reg (164 bytes security) (deflated 70%)
adding: backregs/F57494C2-6807-404F-BCA7-A0AD040EE2E2.reg (164 bytes security) (deflated 70%)
adding: backregs/FA6CE273-3338-4E56-976C-AB489038C876.reg (164 bytes security) (deflated 69%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for really "Everyone"


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{FA6CE273-3338-4E56-976C-AB489038C876}"=-
"{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"=-
"{8845A646-4CAC-4879-9278-647CA9BDCD5B}"=-
"{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"=-
"{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"=-
"{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"=-
"{42800478-0B08-4938-B925-A063E58D4EC7}"=-
"{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"=-
"{AAA1FF69-68C9-4719-A105-B278BF20A194}"=-
"{B3E0A44F-A43E-41F0-A856-D923619D3B81}"=-
"{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"=-
"{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"=-
"{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"=-
"{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"=-
[-HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}]
[-HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}]
[-HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}]
[-HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}]
[-HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}]
[-HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}]
[-HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}]
[-HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}]
[-HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}]
[-HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}]
[-HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}]
[-HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}]
[-HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}]
[-HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}]
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************



----------------------
HijackThis-Log:


Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\System32\LXSUPMON.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\NOTEPAD.EXE
C:\hijack this\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
Dieser Beitrag wurde am 16.04.2005 um 22:57 Uhr von EvaG editiert.
Seitenanfang Seitenende
17.04.2005, 16:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@EvaG

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Remote Procedure Call (RPC) Helper " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Remote Procedure Call (RPC) Helper " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start-->ausfuehren-->regedit

Bearbeiten-->suchen--> 11Fßä#·ºÄÖ`I (reinkopieren)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)

neustarten

deinstalliere den avast und lade:

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-Heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loeschen:
D:\WINDOWS\ieyb.exe
D:\WINDOWS\VT00.exe
D:\WINDOWS\System32\guard.tmp


D:\WINDOWS\SYSTEM32\
dwewp.dll
fdtrg.dll
guqfq.dll
iuohj.dll
mvvaw.dll
nruev.dll
yhyhd.dll
Agdiodev.dll
dwscript.dll
dyuiext.dll
dsiman32.dll
scvsvc.dll
tyappcmp.dll
kedtuf.dll
n?tepad.exe

Loeschen temporaere Dateien[/color] --> loesche die Dateien in den Ordnern, nicht die ordner selbst
D:\WINDOWS\Temp\
D:\Temp\
D:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\

mache dort einen Komplettscann und dann poste mir (wieder im Normalmodus) den Scannreport )+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2005, 18:39
Member

Themenstarter

Beiträge: 26
#15 Den Antivirus hab ich runtergeladen und installiert. Nach der installation hat sich automatisch ein Scan geöffnet und ich hab in (im Normalmodus) weiterlaufen lassen. Dann wollte ich in den abgesicherten Modus um den scann da nochmal laufen zu lassen, aber die lupe ist wieder grau und lässt sich nicht anklicken, sowohl im normal und im abgesicherten modus.
Die oben angegebenen Dateien wollte ich auch löschen, aber es war keine davon mehr da. Nur bei den Temporären Dateien bin ich mir nicht sicher, ob du da D:\ gemeint hast? weil unter C:\ gibts bei mir nur Temp und nicht WINDOWS\Temp. Wenn D gemeint ist: Den ganzen Inhalt löschen, oder die Unterordner da lassen und auch deren Inhalt löschen?

Hier mein aktuelles Logfile:

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\LXSUPMON.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Messenger\msmsgs.exe
C:\hijack this\hijackthis_199\HijackThis.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\svchost.exe

O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
Seitenanfang Seitenende