_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden

#1 Hallo!

Vorab - ich bin eine "Frau", deshalb seid mir nicht böse, wenn ich jetzt vielleicht einen Beitrag poste, der in der falschen Kategorie gelandet ist oder vielleicht gar nichts SCHLIMMES ist =;-)
Also - auch gaaaaaanz einfach erklären!!

Folgendes Problem:
Jedes Mal, wenn ich meinen PC hoch fahrem bekomme ich folgende Mitteilung:

"_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden."

Was ist das? Hab ich mir nen Virus eingefangen?
Habe versucht vorsichtshalber mein AntiVirXP upzudaten, aber das funktioniert nicht! Der Download wird zwar komplett runtergeladen, aber bei der Installation schmiert mir immer der PC ab. Ich hab AntiVir auch schon komplett runtergeschmissen und aus dem Internet neu runtergeladen, wieder das gleiche Problem beim Udate laden...

Kann mir jemand helfen??

#2 Hallo Parano,

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Installiere das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Ok, Heron, ich hab's versucht.
Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 20:53:44, on 16.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\KMaestro\Key_g.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7329FB4-B79C-4809-8321-38A4C58F5E90}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE

#4 Hallo Parano,

welcome back!
Siehst Du, es klappt doch schon ganz gut!

Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
F3 - REG:win.ini: run=
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE

Rechner neu starten

Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst:
Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren.
Danach lösche mit dem Win Explorer
C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE

Lade Dir herunter
eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan clean" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hallo Heron,

ich hoffe, du kannst mir auch weiterhelfen. Ich habe das gleiche Problem wie Parano...habe diese Datei: _VWUPSRV.EXE zwar schon gelöscht...aber irgendwie will die nicht ganz weg ;-)

Hier meine Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 22:40:51, on 18.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
D:\Tools\post it\Psn2Lite.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Trillian\trillian.exe
D:\Tools\POSTIT~1\PSNGive.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für

hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

141.99.25.254:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\mgukxgi.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} -

http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -

http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?11017

60290706
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe

Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE


Muss ich genau so vorgehen, wie Parano?? Wäre dir SUPER DANKBAR für deine Hilfe. Gruß Anke

#6 Hallo Anke,

wie hast Du das Log mit all den Leerzeilen hinbekommen? Bitte poste noch einmal ein zusammenhängendes:
Wenn Du "Save Log" gedrückt hast, dann öffnet sich das Texteditor-Fenster. Dort alles markieren (Ctrl+A), kopieren (Ctlr+C) und hierher posten.

Du hast ein paar mehr Probleme. Wir müssen folgendermaßen vorgehen:

Lade folgende Programme herunter und update sie

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

CWShredder
http://www.majorgeeks.com/download3019.html

Weiterhin herunterladen

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\mgukxgi.exe
O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab


Rechner neu starten

Öffne die Killbox => Delete File on Reboot => und kopiere die nachfolgende Datei mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann mit "yes" antworten
C:\WINDOWS\System32\mgukxgi.exe

Führe mit AdAware, Spybot S&D und CWShredder (in dieser Reihenfolge) jeweils einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken, CWShredder "Fix" drücken)

Poste das Ad-Aware Log und ein aktuelles (zusammenhängendes!) HJT Log

Lade Dir herunter
eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan clean" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 Hallo Heron!

Hat alles gut geklappt, bis auf folgendes:

> das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) <
meine heruntergeladene Datei mußte nicht mehr entpackt werden, die war gleich "einsatzbereit".

Hier also meine infected lines:
Mon Apr 18 21:19:38 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Apr 18 21:19:38 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:19:38 2005 => System found infected with Gator Spyware/Adware ({21FFB6C0-0DA1-11D5-A9D5-00500413153C})! Action taken: No Action Taken.
Mon Apr 18 21:19:38 2005 => File System Found infected by "Gator Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:19:39 2005 => System found infected with gator.com Spyware/Adware! Action taken: No Action Taken.
Mon Apr 18 21:19:39 2005 => File System Found infected by "gator.com Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:19:39 2005 => System found infected with gatortest Spyware/Adware! Action taken: No Action Taken.
Mon Apr 18 21:19:39 2005 => File System Found infected by "gatortest Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:20:14 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:46:12 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 22:05:49 2005 => File C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\ITM3DSetup.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 22:05:50 2005 => File C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\Inside The Matrix 3D Screensaver\nnezt388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 22:37:51 2005 => File C:\Spiele\SIMCITY\AUTO.COM infected by "Type_Com" Virus. Action Taken: No Action Taken.
Mon Apr 18 23:00:27 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Apr 18 23:08:19 2005 => Total Objects Scanned: 96963
Mon Apr 18 23:08:19 2005 => Total Virus(es) Found: 23
Mon Apr 18 23:08:19 2005 => Total Disinfected Files: 0
Mon Apr 18 23:08:19 2005 => Total Files Renamed: 0
Mon Apr 18 23:08:19 2005 => Total Deleted Objects: 0
Mon Apr 18 23:08:19 2005 => Total Errors: 7
Mon Apr 18 23:08:19 2005 => Time Elapsed: 01:49:01
Mon Apr 18 23:08:19 2005 => Virus Database Date: 2005/04/16
Mon Apr 18 23:08:19 2005 => Virus Database Count: 126266

Und?

Gruß Parano

#8 Hallo Parano,

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Rechner neu starten

Lade folgende Programme herunter und update sie

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

CWShredder
http://www.majorgeeks.com/download3019.html

Weiterhin herunterladen

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\NDNuninstall5_64.exe
C:\WINDOWS\NDNuninstall6_10.exe
C:\WINDOWS\NDNuninstall6_22.exe
C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\ITM3DSetup.exe
C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\Inside The Matrix 3D Screensaver\nnezt388.exe

Das gehört ja wohl zu einem Comp-Spiel!?
File C:\Spiele\SIMCITY\AUTO.COM infected by "Type_Com" Virus. Action Taken: No Action Taken.
Wenn es sich um einen DOS-Virus des Typs "Virus.DOS.Elite.191" handelt, ist er harmlos. Ich würde jedoch auf jeden Fall erst einmal das Spiel deinstallieren.


Führe mit AdAware, Spybot S&D und CWShredder (in dieser Reihenfolge) jeweils einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken, CWShredder "Fix" drücken)

Poste das Ad-Aware Log und ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 Hallo Heron, ich danke dir für deine Hilfe. Ich habe versucht alles so auszuführen, wie beschrieben. Aber leider hatte ich ein paar Probleme.

Ich habe die Programme alle runtergeladen und sämtliche Scanvorgänge durchgeführt.

Hier meine Ad-Aware Log:


ArchiveData(auto-quarantine- 2005-04-19 17-38-12.bckp)
Referencefile : SE1R39 15.04.2005
======================================================

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:nadine@maxserving.com/
obj[1]=IECache Entry : Cookie:nadine@casalemedia.com/
obj[2]=IECache Entry : Cookie:nadine@count.eanalyzer.de/
obj[3]=IECache Entry : Cookie:nadine@247realmedia.com/
obj[4]=IECache Entry : Cookie:nadine@c2.zedo.com/
obj[5]=IECache Entry : Cookie:nadine@statcounter.com/
obj[6]=IECache Entry : Cookie:nadine@overture.com/
obj[7]=IECache Entry : Cookie:nadine@imrworldwide.com/cgi-bin
obj[8]=IECache Entry : Cookie:nadine@qksrv.net/
obj[9]=IECache Entry : Cookie:nadine@sel.as-eu.falkag.net/
obj[10]=IECache Entry : Cookie:nadine@adserver.schalk-and-friends.de/
obj[11]=IECache Entry : Cookie:nadine@weborama.fr/
obj[12]=IECache Entry : Cookie:nadine@fastclick.net/
obj[13]=IECache Entry : Cookie:nadine@jgen39.cjt1.net/HTM/718/0
obj[14]=IECache Entry : Cookie:nadine@2o7.net/
obj[15]=IECache Entry : Cookie:nadine@partners.webmasterplan.com/
obj[16]=IECache Entry : Cookie:nadine@adverserve.net/
obj[17]=IECache Entry : Cookie:nadine@fortunecity.com/
obj[18]=IECache Entry : Cookie:nadine@j.2004cms.com/HTM/718/0
obj[19]=IECache Entry : Cookie:nadine@tribalfusion.com/
obj[20]=IECache Entry : Cookie:nadine@as-eu.falkag.net/
obj[21]=IECache Entry : Cookie:nadine@z1.adserver.com/
obj[22]=IECache Entry : Cookie:nadine@as1.falkag.de/
obj[23]=IECache Entry : Cookie:nadine@promo.match.com/
obj[24]=IECache Entry : Cookie:nadine@realmedia.com/
obj[25]=IECache Entry : Cookie:nadine@zedo.com/
obj[26]=IECache Entry : Cookie:nadine@apmebf.com/
obj[27]=IECache Entry : Cookie:nadine@www.123count.com/
obj[28]=IECache Entry : Cookie:nadine@server.iad.liveperson.net/
obj[29]=IECache Entry : Cookie:nadine@adtech.de/
obj[30]=IECache Entry : Cookie:nadine@adserver.71i.de/
obj[31]=IECache Entry : Cookie:nadine@tickle.com/
obj[32]=IECache Entry : Cookie:nadine@www.trackreport.de/
obj[33]=IECache Entry : Cookie:nadine@questionmarket.com/
obj[34]=IECache Entry : Cookie:nadine@tradedoubler.com/





Meine HJT Log:


Logfile of HijackThis v1.99.1
Scan saved at 17:52:14, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
D:\Tools\post it\Psn2Lite.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Trillian\trillian.exe
D:\Tools\POSTIT~1\PSNGive.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE


JA und danach habe ich zwar das eScan Erkennungstool in den Ordner c:\bases entpackt aber ich konnte nicht updaten, da ich die Datei kavupd.exe nicht auffinden konnte.

Ich habe dann im abgesicherten Modus den Scan durchgeführt. Nur leider hatte ich das Problem, dass mein Pc auf einmal einfach so ausging. Das war total seltsam. Auch beim zweiten Versuch geschah genau das gleiche.
Ich muss dazu sagen, dass ich schon seit einiger Zeit das Problem habe, dass sich der PC einfach so festfährt, ohne erkenntlichen Grund. Meistens passiert das beim Virusscannen.
Hat das Problem was mit dem Virus zu tun?

Die einzig infected file aus dem eScan Programm ist jene:


Tue Apr 19 18:24:03 2005 => File C:\WINDOWS\System32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken.


Ja meine Logfile ist etwas lang und ich weiß nicht, wo was endet….also werde ich das alles mal posten…

#10 @ Anke_

Stopp! Bevor Du hier ellenlange Logs reinpostest. Scanne nochmal mir AdAware und poste das Log (vollständig).

Bisher hat es immer geklappt mit dem eScan-Update. Ich weiß nicht was Du falsch machst.

An Deinem HJT Log ist nichts wirklich Auffälliges mehr zu sehen.

Fixe mit HJT
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE
Rechner neu starten.
Tritt die Fehlermeldung mit _VWUPSRV.EXE beim Booten immer noch auf? Funktioniert nach dem Fixen Dein Antivir-Update?

Lösche mit der Killbox
C:\WINDOWS\System32\.pif
C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE

Mit dem PC-Absturz das kann viele Ursachen haben, unter anderem auch ein Virus. Aber wenn eScann bei Dir weder upgedatet werden kann noch im abgesichgerten Modus läuft, wie soll man da auf die Entfernung etwas finden?

Du könntest höchstens noch diverse Online-Scans durchführen
Symantec
http://security.symantec.com/default.asp?

f-secure
http://support.f-secure.com/enu/home/ols.shtml

McAfee FreeScan
www.mcafee.com/myapps/mfs/default.asp

Trend-Micro
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

BitDefender
www.bitdefender.com/scan/Msie/index.php

Alle Dateien, die als "infected" gefunden werden im abgesicherten Modus manuell löschen

Danach noch einmal einen Versuch mit upgedatetem eScan. Du hast recht, die KAVUPD.EXE ist in der neuesten Version von eScan nicht mehr im Programmordner (Habe selbst noch eine ältere Version auf dem Rechner).
Drücke => Start => Ausführen => gebe %temp% in das Fenster ein => OK. Dann kommst Du in Deinen Temp-Ordner. Dort findest Du die KAVUPD.EXE.

Poste ein aktuelles HJT Log und, falles es klappt, die "infected"-Zeilen aus dem eScan Log.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 Hey ho Heron!

Hier mein Ergebnis:

Quarantine Log von AdAware

ArchiveData(auto-quarantine- 2005-04-19 23-27-07.bckp)
Referencefile : SE1R39 15.04.2005
======================================================

CLARIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=RegKey : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
obj[1]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "uets"
obj[2]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GEF"
obj[3]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMG"
obj[4]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMI"
obj[5]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SSeq"
obj[26]=RegKey : software\gatortest
obj[27]=RegKey : software\gator.com
obj[155]=File : C:\WINDOWS\GatorPdpSetup.log
obj[156]=File : C:\WINDOWS\GatorPatch.log
obj[157]=File : C:\WINDOWS\GatorUninstaller_cme.log
obj[158]=File : C:\WINDOWS\GatorUninstaller_cme_u.log

COMETSYSTEMS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[6]=RegKey : interface\{ea3b6c62-70a6-11d1-b69e-444553540000}
obj[7]=RegValue : interface\{ea3b6c62-70a6-11d1-b69e-444553540000} ""
obj[8]=RegKey : typelib\{3c0c31a2-70a2-11d1-b69e-444553540000}

DIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[9]=RegKey : ieloaderctl.ieloaderctl
obj[10]=RegValue : ieloaderctl.ieloaderctl ""
obj[11]=RegKey : ieloaderctl.ieloaderctl.1
obj[12]=RegValue : ieloaderctl.ieloaderctl.1 ""
obj[13]=RegKey : interface\{0f4a7b40-eeee-11cf-a3a9-00a0c9034920}
obj[14]=RegValue : interface\{0f4a7b40-eeee-11cf-a3a9-00a0c9034920} ""
obj[15]=RegKey : interface\{c60bc918-ddbb-0704-0b53-2c8830e9faec}
obj[16]=RegValue : interface\{c60bc918-ddbb-0704-0b53-2c8830e9faec} ""
obj[17]=RegKey : typelib\{000000aa-ddbb-0704-0b53-2c8830e9faec}

ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[18]=RegKey : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
obj[19]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuText"
obj[20]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuStatusBar"
obj[21]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Script"
obj[22]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "clsid"
obj[23]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Icon"
obj[24]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "HotIcon"
obj[25]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText"
obj[38]=RegValue : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
obj[39]=RegValue : S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
obj[40]=RegValue : S-1-5-21-3529363498-4025279379-689279713-1005\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

MAINPEAN DIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[28]=RegKey : software\mainpean highspeed
obj[29]=RegValue : software\mainpean highspeed "Pre"
obj[30]=RegValue : software\mainpean highspeed "PreNumber"
obj[31]=RegValue : software\mainpean highspeed "DeviceName"
obj[32]=RegValue : software\mainpean highspeed "Country"
obj[33]=RegValue : software\mainpean highspeed "Language"
obj[34]=RegValue : software\mainpean highspeed "Machine"
obj[35]=RegValue : software\mainpean highspeed "InstallFlags"
obj[36]=RegValue : software\mainpean highspeed "PassFlags"
obj[37]=RegValue : software\mainpean highspeed "Password"

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[41]=IECache Entry : Cookie:kathrin@www.smartadserver.com/
obj[42]=IECache Entry : Cookie:kathrin@www.addfreestats.com/cgi-bin
obj[43]=IECache Entry : Cookie:kathrin@z1.adserver.com/
obj[44]=IECache Entry : Cookie:kathrin@peel.com/
obj[45]=IECache Entry : Cookie:kathrin@80.237.216.51/cms/
obj[46]=IECache Entry : Cookie:kathrin@popupsponsor.com/
obj[47]=IECache Entry : Cookie:kathrin@ads.adsag.com/
obj[48]=IECache Entry : Cookie:kathrin@ads.specificpop.com/
obj[49]=IECache Entry : Cookie:kathrin@gator.com/
obj[50]=IECache Entry : Cookie:kathrin@trafficmp.com/
obj[51]=IECache Entry : Cookie:kathrin@clickagents.com/
obj[52]=IECache Entry : Cookie:kathrin@edgar.de/cgi-bin/
obj[53]=IECache Entry : Cookie:kathrin@adserver2.3s2w.net/
obj[54]=IECache Entry : Cookie:kathrin@advertising.com/
obj[55]=IECache Entry : Cookie:kathrin@www.qksrv.net/
obj[56]=IECache Entry : Cookie:kathrin@count.eanalyzer.de/
obj[57]=IECache Entry : Cookie:kathrin@mediaplex.com/
obj[58]=IECache Entry : Cookie:kathrin@www1.addfreestats.com/cgi-bin
obj[59]=IECache Entry : Cookie:kathrin@a.as-eu.falkag.net/
obj[60]=IECache Entry : Cookie:kathrin@adverserve.net/
obj[61]=IECache Entry : Cookie:kathrin@ehg-firstream.hitbox.com/
obj[62]=IECache Entry : Cookie:kathrin@adtech.de/
obj[63]=IECache Entry : Cookie:kathrin@ads.tripod.lycos.de/
obj[64]=IECache Entry : Cookie:kathrin@adserver.geizkragen.de/
obj[65]=IECache Entry : Cookie:kathrin@imrworldwide.com/cgi-bin
obj[66]=IECache Entry : Cookie:kathrin@realmedia.com/
obj[67]=IECache Entry : Cookie:kathrin@adserver.71i.de/
obj[68]=IECache Entry : Cookie:kathrin@questionmarket.com/
obj[69]=IECache Entry : Cookie:kathrin@statse.webtrendslive.com/
obj[70]=IECache Entry : Cookie:kathrin@adserver02.stromseite.de/
obj[71]=IECache Entry : Cookie:kathrin@tradedoubler.com/
obj[72]=IECache Entry : Cookie:kathrin@inet-traffic.com/
obj[73]=IECache Entry : Cookie:kathrin@hg1.hitbox.com/
obj[74]=IECache Entry : Cookie:kathrin@www.kalporz.com/adrevolver/
obj[75]=IECache Entry : Cookie:kathrin@server.iad.liveperson.net/
obj[76]=IECache Entry : Cookie:kathrin@as1.falkag.de/
obj[77]=IECache Entry : Cookie:kathrin@hitbox.com/
obj[78]=IECache Entry : Cookie:kathrin@data.coremetrics.com/
obj[79]=IECache Entry : Cookie:kathrin@2o7.net/
obj[80]=IECache Entry : Cookie:kathrin@bfast.com/
obj[81]=IECache Entry : Cookie:kathrin@timelife-europe.com/cgi-bin/
obj[82]=IECache Entry : Cookie:kathrin@servedby.valuead.com/
obj[83]=IECache Entry : Cookie:kathrin@ru4.com/
obj[84]=IECache Entry : Cookie:kathrin@atdmt.com/
obj[85]=IECache Entry : Cookie:kathrin@phg.hitbox.com/
obj[86]=IECache Entry : Cookie:kathrin@tripod.com/
obj[87]=IECache Entry : Cookie:kathrin@doubleclick.net/
obj[88]=IECache Entry : Cookie:kathrin@weborama.fr/
obj[89]=IECache Entry : Cookie:kathrin@mediatrack.popupsponsor.com/
obj[90]=IECache Entry : Cookie:kathrin@adserver.hispavista.com/
obj[91]=IECache Entry : Cookie:kathrin@valueclick.com/
obj[92]=IECache Entry : Cookie:kathrin@st.sageanalyst.net/
obj[93]=IECache Entry : Cookie:kathrin@servedby.advertising.com/
obj[94]=IECache Entry : Cookie:kathrin@adserver.freenet.de/
obj[95]=IECache Entry : Cookie:kathrin@maxserving.com/
obj[96]=IECache Entry : Cookie:kathrin@zedo.com/
obj[97]=IECache Entry : Cookie:kathrin@bluemountain.com/
obj[98]=IECache Entry : Cookie:kathrin@fastclick.net/
obj[99]=IECache Entry : Cookie:kathrin@hc2.humanclick.com/
obj[100]=IECache Entry : Cookie:kathrin@x10.com
obj[101]=IECache Entry : Cookie:kathrin@bluestreak.com/
obj[102]=IECache Entry : Cookie:kathrin@fl01.ct2.comclick.com/
obj[103]=IECache Entry : Cookie:kathrin@www.trackreport.de/
obj[104]=IECache Entry : Cookie:kathrin@overture.com/
obj[105]=IECache Entry : Cookie:kathrin@as-eu.falkag.net/
obj[106]=IECache Entry : Cookie:kathrin@jaimmedia.cjt1.net/HTM/482/0
obj[107]=IECache Entry : Cookie:kathrin@exit-ad.de/
obj[108]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@2o7[2].txt
obj[109]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[2].txt
obj[110]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[2].txt
obj[111]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@tradedoubler[1].txt
obj[112]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[2].txt
obj[113]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[1].txt
obj[114]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[4].txt
obj[115]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ehg-firstream.hitbox[1].txt
obj[116]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hitbox[2].txt
obj[117]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[2].txt
obj[118]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[2].txt
obj[119]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ads.tripod.lycos[1].txt
obj[120]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@2o7[1].txt
obj[121]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[1].txt
obj[122]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@bfast[1].txt
obj[123]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@z1.adserver[1].txt
obj[124]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hitbox[1].txt
obj[125]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@adverserve[1].txt
obj[126]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@atdmt[1].txt
obj[127]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ehg-firstream.hitbox[3].txt
obj[128]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[1].txt
obj[129]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[3].txt
obj[130]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@tradedoubler[2].txt
obj[131]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[2].txt
obj[132]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[3].txt
obj[133]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hg1.hitbox[2].txt
obj[134]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[1].txt
obj[135]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[3].txt
obj[136]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[1].txt
obj[137]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[5].txt
obj[138]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[3].txt
obj[139]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[3].txt
obj[140]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[7].txt
obj[141]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[5].txt
obj[142]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[4].txt
obj[143]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[5].txt
obj[144]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as-eu.falkag[2].txt
obj[145]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[8].txt
obj[146]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[6].txt
obj[147]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@valueclick[2].txt
obj[148]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[4].txt
obj[149]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@cgi-bin[1].txt
obj[150]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@as1.falkag[1].txt
obj[151]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@as1.falkag[2].txt
obj[152]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@mediaplex[1].txt
obj[153]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@atdmt[2].txt
obj[154]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@doubleclick[2].txt



Logfile of HijackThis v1.99.1
Scan saved at 17:16:53, on 20.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ahead\InCD\InCD.exe
C:\KMaestro\Key_g.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Systemcheckprogramme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7329FB4-B79C-4809-8321-38A4C58F5E90}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Und? Clean?
Grüße
Parano

#12 Hi Parano,

sieht soweit gut aus!
Das AdAware Log ist nicht komplett. Scanne nochmals mit dem Prog (aktiviere "Perform Full System Scan" bevor Du "Next" drückst) und poste das vollständige Log (Scan-Log und nicht das Quarantäne-Log).

Kennst Du den Prozess? Hast Du das Programm selbst installiert?
C:\KMaestro\Key_g.EXE

Fixe noch mit HJT (Eintrag unnötig)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Systemcheckprogramme\Spybot - Search & Destroy\SDHelper.dll (file missing)

Du kannst noch einmal mit dem upgedateten eScan im abgesicherten Modus scannen und überprüfen ob alles clean ist.
Drücke Start => Ausführen => und gib %temp% in das Fenster ein => OK. Dann öffnet sich Dein Temp-Ordner. Suche die KAVUPD.EXE und doppelklicke sie => eScan wird upgedated

Ansonsten gute Arbeit! Noch Probleme?

Du solltest Dir Service Pack 2 für Dein Win XP entweder herunterladen oder auf der MS Homepage die kostenlose CD bestellen. Eine Firewall wäre auch nicht schlecht. Dazu gibt es massig Infos hier im Board. Schaue Dich einfach mal um.

Nicht vergessen, die Systemwiederherstellung wieder zu aktivieren!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 HI Heron,

habe es nochmal mit dem Escan im abgesichtern Modus versucht, aber mein Pc geht immer wieder aus. Mit dem Update klappt immer noch nicht. Ich habe die kavupd.exe in den bases ordner kopiert. Aber wenn ich das öffnen will, rührt sich nichts.

Ich habe den Escan im Normalmodus durchgeführt. Ich hoffe, dass das auch okay ist.
Daraus haben sich dann folgende infected files ergeben:

File C:\DOKUME~1\Nadine\LOKALE~1\TEMPOR~1\Content.IE5\Y3Q7MHEN\steuer[sut-10112,1][1].exe tagged as not-a-virus:RiskWare.Dialer.Intexdial.a. No Action Taken.
File C:\!Submit\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y3Q7MHEN\steuer[sut-10112,1][1].exe tagged as not-a-virus:RiskWare.Dialer.Intexdial.a. No Action Taken.


Kann ich diese Datein mit der Killbox löschen?

Und hier noch meine HJT Log:

Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich danke dir!! Grüßchen von Anke

#14 Hi Anke_,

Mmh, das mit den Abstürzen ist mir rätselhaft. Hast Du die Online Scans gemacht? Kopiere die KAVUPD.EXE in den Temp-Ordner zurück und versuche dann, das Programm zu starten. Was ist, wenn Du mit Antivir im abgesicherten Modus scanst?

Ja, die als "infected" gefundenen Dateien kannst Du mit der Killbox löschen.

Scanne nochmals mit AdAware und poste das vollständige Log, ebenso wie das vollständige HJT Log.
Soweit ich das aus dem rudimetären Log erkennen kann ist soweit alles OK.

Du kannst die Systemwiederherstellung wieder aktivieren.

Lade Dir noch herunter CCleaner
http://www.ccleaner.com/ccdownload.asp
Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Hi Heron,

so ich hoffe mal, dass das mit dem pc und den viren endlich mal ein Ende hat.
Habe mit AdAware gescannt und er hat 5 Viren gefunden.
ICh hoffe, dass die Log vollständig ist...irgendwie habe ich das GEfühl, dass es nicht der Fall ist ;-)


Sag mal, welche Firewall kannst du empfehlen? ich habe zurzeit AtGuard.
Das mit dem CCleaner hat alles super geklappt. Thanks!

Ad-Aware SE Build 1.05
Logfile Created on:Mittwoch, 20. April 2005 23:15:50
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R39 15.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):40 total references
Tracking Cookie(TAC index:3):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


20.04.2005 23:15:50 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Nadine\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\nvidia corporation\global\nview\windowmanagement
Description : nvidia nview cached application window positions


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\9.0\powerpoint\recentfolderlist
Description : list of recent folders used by microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\9.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\musicmatch
Description : download location of the musicmatch installer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\mmradio
Description : information on the last station listened to using musicmatch radio


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\clipart gallery\2.0\mrudescription
Description : most recently used description in microsoft clipart gallery


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\automap\9.0\findmru
Description : list of recently used find queries used in microsoft automap-based products


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\automap\9.0\recent file list
Description : list of recently used files in microsoft automap-based products


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\fileconv
Description : file conversion location settings in musicmatch jukebox


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 304
ThreadCreationTime : 20.04.2005 17:53:27
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 408
ThreadCreationTime : 20.04.2005 17:53:29
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 436
ThreadCreationTime : 20.04.2005 17:53:32
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 480
ThreadCreationTime : 20.04.2005 17:53:32
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 492
ThreadCreationTime : 20.04.2005 17:53:32
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 648
ThreadCreationTime : 20.04.2005 17:53:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 672
ThreadCreationTime : 20.04.2005 17:53:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 796
ThreadCreationTime : 20.04.2005 17:53:34
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 852
ThreadCreationTime : 20.04.2005 17:53:35
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1148
ThreadCreationTime : 20.04.2005 17:53:48
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:11 [rundll32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1236
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:12 [syntplpr.exe]
FilePath : C:\Programme\Synaptics\SynTP\
ProcessID : 1252
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 6.7.2 22Jul02
ProductVersion : 6.7.2 22Jul02
ProductName : Progressive Touch
CompanyName : Synaptics, Inc.
FileDescription : TouchPad Driver Helper Application
InternalName : SynTPLpr
LegalCopyright : Copyright (C) Synaptics, Inc. 1996-2002
OriginalFilename : SynTPLpr.exe

#:13 [syntpenh.exe]
FilePath : C:\Programme\Synaptics\SynTP\
ProcessID : 1260
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 6.7.2 22Jul02
ProductVersion : 6.7.2 22Jul02
ProductName : Progressive Touch
CompanyName : Synaptics, Inc.
FileDescription : Synaptics TouchPad Enhancements
InternalName : Scrolleroo
LegalCopyright : Copyright (C) Synaptics, Inc. 1996-2002
OriginalFilename : SynTPEnh.exe

#:14 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 1272
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 5.0.03
ProductVersion : 5.0.03
ProductName : Avance Sound Manager
CompanyName : Avance Logic, Inc.
FileDescription : Avance Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2002 Avance Logic, Inc.
OriginalFilename : ALSMTray.exe
Comments : Avance AC97 Audio Sound Manager

#:15 [iamapp.exe]
FilePath : C:\PROGRA~1\Atguard\
ProcessID : 1296
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 3.22.09
ProductVersion : 3.2
ProductName : AtGuard
CompanyName : WRQ, Inc.
FileDescription : IAMAPP.EXE
LegalCopyright : Copyright (c) 1998,1999 WRQ, Inc.

#:16 [hpztsb04.exe]
FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\
ProcessID : 1312
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 2,80,0,0
ProductVersion : 2,80,0,0
ProductName : HP DeskJet
CompanyName : HP
LegalCopyright : Copyright (c) Hewlett-Packard Company 1999-2001

#:17 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1320
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:18 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 1328
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal
FileVersion : 0.1.0.3208
ProductVersion : 0.1.0.3208
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:19 [winampa.exe]
FilePath : C:\Programme\Winamp\
ProcessID : 1344
ThreadCreationTime : 20.04.2005 17:53:50
BasePriority : Normal


#:20 [psn2lite.exe]
FilePath : D:\Tools\post it\
ProcessID : 1624
ThreadCreationTime : 20.04.2005 17:53:52
BasePriority : Normal
FileVersion : 2, 1, 1, 1059
ProductVersion : 2, 1, 1, 1059
ProductName : Post-it(R) Software Notes Lite Version 2
CompanyName : 3M
FileDescription : Post-it(R) Software Notes: System
InternalName : PSN2
LegalCopyright : © 1995-2001 3M Company. All Rights Reserved.
LegalTrademarks : "Post-it" and canary yellow are registered trademarks of 3M.
OriginalFilename : PSN2VIEW.EXE

#:21 [ezbutton.exe]
FilePath : C:\Programme\EzButton System V2.1\
ProcessID : 1632
ThreadCreationTime : 20.04.2005 17:53:53
BasePriority : Normal
FileVersion : 2.0
ProductVersion : 2.0
ProductName : EzButton Application
FileDescription : EzButton
InternalName : EzButton
LegalCopyright : Copyright (C) 1999
OriginalFilename : EzButton.EXE

#:22 [trillian.exe]
FilePath : C:\Programme\Trillian\
ProcessID : 1640
ThreadCreationTime : 20.04.2005 17:53:53
BasePriority : Normal
FileVersion : 2.0.1.112
ProductVersion : 2.0.1.112
ProductName : Trillian
CompanyName : Cerulean Studios
FileDescription : Trillian
InternalName : Trillian
LegalCopyright : © Cerulean Studios, LLC. All rights reserved.
OriginalFilename : Trillian.exe

#:23 [psngive.exe]
FilePath : D:\Tools\POSTIT~1\
ProcessID : 1664
ThreadCreationTime : 20.04.2005 17:53:53
BasePriority : Normal
FileVersion : 2, 1, 1, 2059
ProductVersion : 2, 1, 1, 2059
ProductName : Post-it(R) Software Notes Version 2
CompanyName : 3M
FileDescription : Post-it(R) Software Notes: GiveNote
InternalName : PSN2
LegalCopyright : © 1995-2001 3M Company. All Rights Reserved.
LegalTrademarks : "Post-it" and canary yellow are registered trademarks of 3M.
OriginalFilename : PSN2.EXE

#:24 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1796
ThreadCreationTime : 20.04.2005 17:53:58
BasePriority : Normal


#:25 [iamserv.exe]
FilePath : C:\Programme\Atguard\
ProcessID : 1832
ThreadCreationTime : 20.04.2005 17:53:58
BasePriority : Normal
FileVersion : 3.22.09
ProductVersion : 3.2
ProductName : AtGuard
CompanyName : WRQ, Inc.
FileDescription : IAMSERV.EXE
LegalCopyright : Copyright (c) 1998,1999 WRQ, Inc.

#:26 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1880
ThreadCreationTime : 20.04.2005 17:53:58
BasePriority : Normal
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
ProductName : Microsoft Development Environment
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000
OriginalFilename : mdm.exe

#:27 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1940
ThreadCreationTime : 20.04.2005 17:53:59
BasePriority : Normal
FileVersion : 6.13.10.3082
ProductVersion : 6.13.10.3082
ProductName : NVIDIA Driver Helper Service, Version 30.82
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 30.82
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:28 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2204
ThreadCreationTime : 20.04.2005 20:12:44
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:29 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1404
ThreadCreationTime : 20.04.2005 21:15:22
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 40


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 40


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 40


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : nadine@fastclick[2].txt
Category : Data Miner
Comment : Hits:8
Value : Cookie:nadine@fastclick.net/
Expires : 10.04.2007 22:16:58
LastSync : Hits:8
UseCount : 0
Hits : 8

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : nadine@as-eu.falkag[1].txt
Category : Data Miner
Comment : Hits:19
Value : Cookie:nadine@as-eu.falkag.net/
Expires : 20.04.2006 22:41:22
LastSync : Hits:19
UseCount : 0
Hits : 19

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : nadine@as1.falkag[2].txt
Category : Data Miner
Comment : Hits:46
Value : Cookie:nadine@as1.falkag.de/
Expires : 20.05.2005 22:38:42
LastSync : Hits:46
UseCount : 0
Hits : 46

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : nadine@tradedoubler[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:nadine@tradedoubler.com/
Expires : 21.04.2005 02:55:02
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : nadine@adtech[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:nadine@adtech.de/
Expires : 18.04.2015 14:57:14
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 45







HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:58:34, on 20.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
D:\Tools\post it\Psn2Lite.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Trillian\trillian.exe
D:\Tools\POSTIT~1\PSNGive.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Bis dann, Danke Anke