VX2 mit Pop-Ups, spätestens nach Neustart wieder da |
||
---|---|---|
#0
| ||
30.04.2005, 08:47
...neu hier
Beiträge: 5 |
||
|
||
30.04.2005, 18:10
Member
Beiträge: 239 |
#2
Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm. Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. Rolfs |
|
|
||
30.04.2005, 20:13
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo Rolfs,
ich habe die folgenden Schritte ausgeführt: - Scan mit Ad-Aware - Scan mit Spybot - Scan mit CWShredder Der Virenscanner Trend Micro PC wurde bereits beim Scan mit Ad-Aware aktiv (Echtzeitsuche) und meldete einige Schädlinge. Ich habe aber nach den o.g. Scans noch keine Säuberung durchgeführt! Anschliessend habe ich HijackThis laufen lassen. Hier ist das HijackThis-Protokoll: Logfile of HijackThis v1.99.1 Scan saved at 20:08:27, on 30.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\System32\DSentry.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\PROGRA~1\OPLIMIT\ocrawr32.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\CWShredder.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll (file missing) O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe |
|
|
||
30.04.2005, 21:20
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@toro
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.04.2005, 22:46
...neu hier
Themenstarter Beiträge: 5 |
#5
Hallo Sabina,
das Tool liefert folgendes Ergebnis: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 30.04.2005 22:43:36 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum] |
|
|
||
01.05.2005, 16:05
Ehrenmitglied
Beiträge: 29434 |
#6
Start-->Ausfuehren->regedit
bearbeiten--> suchen--> (reinkopieren)-->11Fßä#·ºÄÖ`I mit rechtsklick loeschen: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\ipwi32.exe C:\WINDOWS\netgx32.exe C:\WINDOWS\imtfi.txt C:\WINDOWS\zxmmr.dat C:\WINDOWS\SYSTEM32\beext.dat C:\WINDOWS\system32\apiiy32.exe C:\WINDOWS\system32\atlde.dll C:\WINDOWS\system32\wzgxe.dll C:\WINDOWS\system32\apixk32.exe PC neustarten •Antivirus (free)--> gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt und scanne dort)--> dann poste mir den Report vom Scann http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein dann poste mir den Report vom Scann+ das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.05.2005, 21:23
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Sabina,
anbei das Ergebnis des AntiVir Scans im abgesicherten Modus. Das Ergebnis macht mich aber nicht sonderlich froh :-( Die eine gefundene exe.Datei habe ich manuell gelöscht, da AntiVir sie nicht entfernen konnte. Alle anderen habe ich über die OK-Bestätigung während des AntiVir-Scans löschen lassen bzw. es versuchen lassen. Auf jeden Fall schonmal ein dickes Dankeschön für Deine Arbeit :-))) toro Erstellungsdatum der Reportdatei: Sonntag, 1. Mai 2005 19:05 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.147 (0) vom 01.05.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 161485 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 2) Benutzername: Andreas Computername: HOME Prozessor: Pentium Arbeitsspeicher: 1047548 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.30.00.145 1085480 29.04.2005 14:52:56 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 29.08.2002 07:00:00 MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 09:57:24 MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408 MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 09:57:28 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Andreas\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom Start des Suchlaufs: Sonntag, 1. Mai 2005 19:05 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery Advertisingcom.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom18.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom19.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom20.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom21.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom22.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom23.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom24.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom25.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom26.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom27.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom28.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom29.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom30.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom31.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom32.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom33.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom34.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Advertisingcom9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AvenueAInc9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt BFast.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CommissionJunction.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DoubleClick9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DownloadWare.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HitBox9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt HuntBar.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MediaPlex9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt nCase.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentials9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentialsSmartPops.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt NetworkEssentialsSmartPops1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexList5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker18.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker19.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt SexTracker9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt TargetNet.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ValueClick9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt VirtualBouncer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt VirtualBouncer1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WindowsMediaPlayer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Fehler beim Wechsel in das Verzeichnis Buena Vista Interactive Fehler beim Wechsel in das Verzeichnis GROUND CONTROL II C:\Dokumente und Einstellungen\Andreas NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen tis12de_gm_eval.exe ArchiveType: CAB SFX (self extracting) --> \Setup\program files\Trend Micro\PC-cillin\tmproxy.exe [FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp temp.fr1D77 [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\Dokumente und Einstellungen\NetworkService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis Buena Vista Interactive C:\Programme\Trend Micro\Internet Security 12 tmproxy.exe [FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic WURDE GELÖSCHT! C:\Programme\Trend Micro\Internet Security 12\Quarantine 161.tmp [FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C WURDE GELÖSCHT! 162.tmp [FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C WURDE GELÖSCHT! 163.tmp [FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C WURDE GELÖSCHT! 164.tmp [FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C WURDE GELÖSCHT! C:\Programme\Windows Media Player wmplayer.exe.tmp [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300909 (Dialer) WURDE GELÖSCHT! C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP174 A0068451.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068474.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068481.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP175 A0068484.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068487.INI:miriu [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! A0068488.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068519.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068520.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0068542.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP185 A0068691.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP198 A0070894.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0070914.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! A0070963.INI:miriu [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! A0070973.INI:miriu [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! A0070986.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0071976.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP199 A0072036.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072037.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072040.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072041.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072043.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072044.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072045.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072046.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072047.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072048.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072049.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072050.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072051.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072052.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072053.exe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! A0072054.exe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! A0072055.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! A0072063.exe [FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic WURDE GELÖSCHT! C:\WINDOWS 002230_.tmp:dcrjyk [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! AlphaPlayer.INI:cbppp [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! asvps.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! CONTROL.INI:zpbvv [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! DirectX.log:akqowz [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! Edofma.INI:cdcszr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! EXPLORER.SCF:quqna [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! FaxSetup.log:uevxtb [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! IIS6.LOG:vhgyk [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! jkbxq.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! KB825119.log:kaopc [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! KB828028.log:buvvbs [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! KB834707-IE6SP1-20040929.091901.log:clixb [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! KB841533.log:ggcnkm [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! KB873376.log:nenrh [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! KB893803.log:jrjhq [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! q812415.log:vezza [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! sdkhr.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sdkzb32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sessmgr.setup.log:infmg [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! sysal.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sysdw.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sysdw32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sysmn32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! tsc.ptn:zoguv [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! Vtw.INI:miriu [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! WINNT.BMP:ejzvs [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! WINNT256.BMP:xvupd [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! winstart.bat:vlqdm [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! ylffv.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! zdggc.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! {00000002-00000000-00000000-00001102-00000004-10031102}.BAK:knmbxv [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:vopuui [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:ugkhva [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:nttbu [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:mpkrtr [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:kkwcgs [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:eiaydz [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! {00000002-00000000-00000001-00001102-00000004-10031102}.CDF:bnzshe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! C:\WINDOWS\SYSTEM32 akupd.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.BR WURDE GELÖSCHT! atlap32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! atlzc.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! crpc32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! d3cb32.exe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! ehogf.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! ipos.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ipzd.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! javaej.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! javalj.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! javash32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! netpe32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! netqy32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ntkr.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ntvq32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ntyj32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ssdfx.dll [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! sysoa32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sysyc.exe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 WURDE GELÖSCHT! winhj32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\WINDOWS\SYSTEM32\CONFIG DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Sonntag, 1. Mai 2005 21:12 Benötigte Zeit: 126:36 min 7987 Verzeichnisse wurden durchsucht 232676 Dateien wurden geprüft 22 Warnungen wurden ausgegeben 100 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 101 Viren bzw. unerwünschte Programme wurden gefunden |
|
|
||
01.05.2005, 21:59
Ehrenmitglied
Beiträge: 29434 |
#8
nun gut, scanne nun bitte noch einmal und berichte (im abgesicherten Modus)
dann mache einen Onlinescan (wenn dein Antivirus "meckert"-> ignorieren) •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm dann poste auch das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.05.2005, 23:47
...neu hier
Themenstarter Beiträge: 5 |
#9
Hallo Sabina,
leider konnte ich den Online-Scan nicht im abgesicherten Modus durchführen, da ich dann keine Internetverbindung (DSL) aufbauen konnte, d.h. bei Betätigen der Desktopverknüpfung passierte überhaupt nichts. Das ging erst wieder nach dem "normalen" Start. Hier ist der Scan mit PANDA: Incident Status Location Adware:Adware/nCase No disinfected Windows Registry Adware:Adware/WinTools No disinfected C:\Programme\Gemeinsame Dateien\WinTools Adware:Adware/AdDestroyer No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AdDestroyer Adware:Adware/VirtualBouncer No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VBouncer Adware:Adware/TopConvert No disinfected Windows Registry Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Ab scissor.url Adware:Adware/CWS.HomeSearchAsisstantNo disinfected Windows Registry Virus:Trj/Downloader.CFJ Disinfected Operating system Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Only sex website.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Search the web.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Seven days of free porn.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Ab scissor.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Broadband comparison.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Credit counseling.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Credit report.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Crm software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Debt credit card.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Escorts.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Fha.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Health insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Help desk software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Insurance home.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Loan for debt consolidation.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Loan for people with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Marketing email.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Mortgage insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Mortgage life insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Nevada corporations.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online Betting Site.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online gambling casino.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online instant loan.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Order phentermine.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Payroll advance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Personal loans online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Personal loans with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Prescription Drugs Rx Online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Refinancing my mortgage.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Tahoe vacation rental.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Unsecured bad credit loans.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Videos.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\What is hydrocodone.url Possible Virus. No disinfected C:\Programme\GameSpy Arcade\fpupdate.exe Possible Virus. No disinfected C:\Programme\Liquid Entertainment\DER RINGKRIEG™\fpupdate.exe Spyware:Spyware/Virtumonde No disinfected C:\WINDOWS\SYSTEM32\akcore.dll Adware:Adware/Look2Me No disinfected C:\WINDOWS\SYSTEM32\i8jqli1518.dll Hier ist der Scan mit HiJackThis (mit normalem Start): Logfile of HijackThis v1.99.1 Scan saved at 23:44:42, on 01.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\System32\DSentry.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\OPLIMIT\ocrawr32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe Und hier ist HiJackThis im angesicherten Modus: Logfile of HijackThis v1.99.1 Scan saved at 22:12:48, on 01.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe |
|
|
||
Ich habe folgenden Probleme:
-in die Internet-Favoriten haben sich einige Einträge eingefügt, die dort nicht hingehören (lookfor.cc, 7days.ws etc.)
- ständige Pop-Ups beim Aufruf von harmlosen Seiten (trotz über XP aktiviertem Pop-Up-Blocker)
Ich habe schon mehrfach über Scans die potentiellen Gefahren ausgefiltert und über "Fix it", Quarantäne Log" versucht sie zu beseitigen. Allerdings kommen die gleichen Störenfriede immer wieder, teilweise auch im laufenden Betrieb, spätestens aber nach dem Neustart des Rechners.
Zu VX2 habe ich auch gelsen, dass man betroffene .dll-Dateien auf dem Rechner haben müsste. Allerdings liefert DllCompare.exe kein Ergebnis:
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found "
________________________________________________
1.323 items found: 1.323 files, 0 directories.
Total of file sizes: 278.447.468 bytes 265,55 M
Administrator Account = Wahr
--------------------End log---------------------
Ich habe die folgenden Scanner der Reihe nach durchlaufen lassen, nachdem ich den Rechner neu gestartet habe und erstmal auch keine Dateien entfernt habe.
******************************************************
******************************************************
******************************************************
Ad-Aware se liefert folgendes:
Ad-Aware SE Build 1.05
Logfile Created on:Samstag, 30. April 2005 08:13:02
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R41 25.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch(TAC index:10):20 total references
VX2(TAC index:10):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R41 25.04.2005
Internal build : 48
File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 462131 Bytes
Total size : 1397647 Bytes
Signature data size : 1367126 Bytes
Reference data size : 30009 Bytes
Signatures total : 39003
Fingerprints total : 816
Fingerprints size : 28835 Bytes
Target categories : 15
Target families : 650
Memory + processor status:
==========================
Number of processors : 2
Processor architecture : Intel Pentium IV
Memory available:66 %
Total physical memory:1047548 kb
Available physical memory:688668 kb
Total page file size:2524108 kb
Available on page file:2289528 kb
Total virtual memory:2097024 kb
Available virtual memory:2040712 kb
OS:Microsoft Windows XP Home Edition Service Pack 2 (Build 2600)
Ad-Aware SE Settings
===========================
Set : Safe mode (always request confirmation)
Set : Scan registry
Set : Deep-scan registry
Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects
30.04.2005 08:13:02 - Scan started. (Full System Scan)
Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 892
ThreadCreationTime : 30.04.2005 06:03:24
BasePriority : Normal
#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 968
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : High
#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1012
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe
#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1024
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:5 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1248
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal
#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1264
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1464
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1900
ThreadCreationTime : 30.04.2005 06:03:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe
#:9 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 328
ThreadCreationTime : 30.04.2005 06:03:31
BasePriority : Normal
#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 428
ThreadCreationTime : 30.04.2005 06:03:32
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE
#:11 [ctsvccda.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 560
ThreadCreationTime : 30.04.2005 06:03:40
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE
#:12 [pcctlcom.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 604
ThreadCreationTime : 30.04.2005 06:03:41
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : PcCtlCom Module
InternalName : PcCtlCom
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : PcCtlCom.EXE
#:13 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:14 [tmntsrv.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 852
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : Tmntsrv.exe
#:15 [tmproxy.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 920
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 1.0.0.1116
ProductVersion : 1.0.0
ProductName : Trend Micro Network Security Components 1.0
CompanyName : Trend Micro Inc.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
LegalCopyright : Copyright (C) 2001-2004 Trend Micro Inc. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Inc.
OriginalFilename : TmProxy.exe
#:16 [vsmon.exe]
FilePath : C:\WINDOWS\SYSTEM32\ZoneLabs\
ProcessID : 1424
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : vsmon.exe
#:17 [mspmspsv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1484
ThreadCreationTime : 30.04.2005 06:03:48
BasePriority : Normal
FileVersion : 7.00.00.1954
ProductVersion : 7.00.00.1954
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE
#:18 [tmpfw.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 1856
ThreadCreationTime : 30.04.2005 06:03:51
BasePriority : Normal
FileVersion : 2.0.0.1116
ProductVersion : 1.0.0
ProductName : Trend Network Security Component 1.0
CompanyName : Trend Micro Inc.
FileDescription : TmPfw
InternalName : TmPfw
LegalCopyright : Copyright (C) 2001-2004 Trend Micro Inc. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Inc.
OriginalFilename : TmPfw.exe
#:19 [ipwi32.exe]
FilePath : C:\WINDOWS\
ProcessID : 2424
ThreadCreationTime : 30.04.2005 06:05:23
BasePriority : Normal
VX2 Object Recognized!
Type : Process
Data : ipwi32.exe
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\
Warning! VX2 Object found in memory(C:\WINDOWS\ipwi32.exe)
"C:\WINDOWS\ipwi32.exe"Process terminated successfully
"C:\WINDOWS\ipwi32.exe"Process terminated successfully
#:20 [wscntfy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2552
ThreadCreationTime : 30.04.2005 06:05:25
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Security Center Notification App
InternalName : wscntfy.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : wscntfy.exe
#:21 [pccguide.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 2592
ThreadCreationTime : 30.04.2005 06:05:28
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : PCCGuide
#:22 [ctsysvol.exe]
FilePath : C:\Programme\Creative\SBAudigy2\Surround Mixer\
ProcessID : 2776
ThreadCreationTime : 30.04.2005 06:05:42
BasePriority : Normal
FileVersion : 1.1.3.0
ProductVersion : 1.0.0.0
ProductName : Creative Volume Control
CompanyName : Creative Technology Ltd
FileDescription : CTSysVol.exe
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002. All rights reserved.
OriginalFilename : CTSysVol.exe
#:23 [ctdvddet.exe]
FilePath : C:\Programme\Creative\SBAudigy2\DVDAudio\
ProcessID : 2792
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1.0.2.0
ProductVersion : 1.0.2.0
ProductName : CTDVDDET
CompanyName : Creative Technology Ltd
FileDescription : CTDVDDET
InternalName : CTDVDDET
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002. All rights reserved.
OriginalFilename : CTDVDDET.EXE
#:24 [cthelper.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2800
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1, 0, 0, 11
ProductVersion : 1, 0, 0, 11
ProductName : CtHelper Application
CompanyName : Creative Technology Ltd
FileDescription : CtHelper MFC Application
InternalName : CtHelper
LegalCopyright : Copyright (C) 2002
OriginalFilename : CtHelper.EXE
#:25 [dsentry.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2816
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1, 0, 5, 0
ProductVersion : 1, 0, 5, 0
ProductName : Dell - DVDSentry
CompanyName : Dell - Advanced Desktop Engineering
FileDescription : DVDSentry
InternalName : DVDSentry
LegalCopyright : Copyright © 2002 Dell
OriginalFilename : DSentry.exe
Comments : DVDSentry launches your software DVD player when a DVD is inserted.
#:26 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 3072
ThreadCreationTime : 30.04.2005 06:05:45
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : Zone Labs Client
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : zlclient.exe
#:27 [netgx32.exe]
FilePath : C:\WINDOWS\
ProcessID : 3080
ThreadCreationTime : 30.04.2005 06:05:45
BasePriority : Normal
#:28 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3240
ThreadCreationTime : 30.04.2005 06:05:46
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE
#:29 [em_exec.exe]
FilePath : C:\Programme\Logitech\MouseWare\system\
ProcessID : 3260
ThreadCreationTime : 30.04.2005 06:05:47
BasePriority : Normal
FileVersion : 9.80.019
ProductVersion : 9.80.019
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Logitech Events Handler Application
InternalName : Em_Exec
LegalCopyright : (C) 1987-2004 Logitech. All rights reserved.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : Em_Exec.exe
Comments : Created by the MouseWare team
#:30 [ntvdm.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3548
ThreadCreationTime : 30.04.2005 06:05:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : NTVDM.EXE
InternalName : NTVDM.EXE
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : NTVDM.EXE
#:31 [ocrawr32.exe]
FilePath : C:\PROGRA~1\OPLIMIT\
ProcessID : 3712
ThreadCreationTime : 30.04.2005 06:06:06
BasePriority : Normal
FileVersion : 5, 0, 0, 1
ProductVersion : 5, 0, 0, 1
ProductName : OmniPage Limited Edition
CompanyName : Caere Corporation
FileDescription : Ocraware32
InternalName : Ocraware32
LegalCopyright : Copyright © 1995 Caere Corporation
OriginalFilename : Ocrawr32.exe
#:32 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 488
ThreadCreationTime : 30.04.2005 06:12:48
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved
Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1
Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1
Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1
Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1
Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch Object Recognized!
Type : File
Data : imtfi.txt
Category : Malware
Comment :
Object : C:\WINDOWS\
CoolWebSearch Object Recognized!
Type : File
Data : beext.dat
Category : Malware
Comment :
Object : C:\WINDOWS\SYSTEM32\
CoolWebSearch Object Recognized!
Type : File
Data : zxmmr.dat
Category : Malware
Comment :
Object : C:\WINDOWS\
Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
VX2 Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\toolbar\webbrowser
Value : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : DisplayName
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : UninstallString
CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : DisplayName
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : UninstallString
CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : DisplayName
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : UninstallString
CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\urlsearchhooks
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\urlsearchhooks
Value : {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD}
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\search
Value : SearchAssistant
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Bar
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft
Value : set
CoolWebSearch Object Recognized!
Type : RegData
Data : no
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no
CoolWebSearch Object Recognized!
Type : RegData
Data : no
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no
CoolWebSearch Object Recognized!
Type : RegData
Data : about:blank
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Start Page
Data : about:blank
Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 18
Objects found so far: 22
08:28:58 Scan Complete
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:15:56.312
Objects scanned:248540
Objects identified:22
Objects ignored:0
New critical objects:22
******************************************************
******************************************************
******************************************************
hijackthis liefert folgendes:
Logfile of HijackThis v1.99.1
Scan saved at 08:35:08, on 30.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\netgx32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\OPLIMIT\ocrawr32.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\apiiy32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\DllCompare.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe
O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe
O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
******************************************************
******************************************************
******************************************************
Die Auswertung des hijackthis-files über die Online-Auswertung (lässt sich nicht gut hierrein posten wegen der Formatierung) liefert die folgenden bösen oder evtl. bösen Einträge:
C:\WINDOWS\netgx32.exe
Unbekannt Laufender Prozess. (netgx32.exe)
Dies ist ein unbekannter Prozess.
C:\WINDOWS\system32\apiiy32.exe
Unbekannt Laufender Prozess. (apiiy32.exe)
Dies ist ein unbekannter Prozess.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R3 - Default URLSearchHook is missing
Böse Sollte gefixt werden, wenn kein bekanntes (oder gar kein) Programm erwähnt wird. Dieser Eintrag sollte gefixt werden!
O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe
Eventuell Böse
Trefferquote: 6 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
******************************************************
******************************************************
******************************************************
Wenn ich diese bösen Einträge fixen will, bleiben trotzdem
R3 - Default URLSearchHook is missing
auch weiterhin bestehen.
Spätestens beim Neustart kommen exe-Dateien wieder (mit verändertem Namen) sowie auch die Search Page und Search Bar Einträge, so dass ich nach jedem Neustart wieder von vorne anfange.
Ich hoffe ich habe nicht zu viel gepostet und damit zuviel Datenflut geliefert. Für einen Tip und Hilfe wäre ich sehr dankbar.
EDIT:
Ich habe noch das Ergebnis mit CWShredder v2.14 vergessen:
**** Run Keys ****
RUN: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
RUN: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
RUN: [CTHelper] CTHELPER.EXE
RUN: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
RUN: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
RUN: [Logitech Utility] Logi_MwX.Exe
RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
RUN: [netgx32.exe] C:\WINDOWS\netgx32.exe
RUN: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
RUN: [Sonic RecordNow!]
RUN: [SB Audigy 2 Startup Menu] /L:GER
**** Browser Helper Objects ****
BHO: [] C:\WINDOWS\system32\atlde.dll
**** IE Toolbars ****
**** IE Extensions ****
IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe
**** Hosts File Entries ****
**** IE Settings ****
Default Page: about:blank
Default Search: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Local Page: C:\WINDOWS\system32\blank.htm
Search Bar: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Search Page: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
**** IE Context Menu (Right click) ****
**** Layered Service Providers ****
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{FAA0495A-72C7-46A9-9887-95AEC8469908}] SEQPACKET 9
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{FAA0495A-72C7-46A9-9887-95AEC8469908}] DATAGRAM 9
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] SEQPACKET 10
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] DATAGRAM 10
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] SEQPACKET 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] DATAGRAM 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{53939020-29E2-489C-B227-5C7CBE96E367}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{53939020-29E2-489C-B227-5C7CBE96E367}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D92B2AF6-7E32-4FE6-B3C2-1BD7C6E3D2BA}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D92B2AF6-7E32-4FE6-B3C2-1BD7C6E3D2BA}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FAA0495A-72C7-46A9-9887-95AEC8469908}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FAA0495A-72C7-46A9-9887-95AEC8469908}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3F32247F-3FBA-4395-B45E-E71DB08DDEED}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3F32247F-3FBA-4395-B45E-E71DB08DDEED}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CEAE4439-E815-4BDB-B6B3-BDE5BB8954A1}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CEAE4439-E815-4BDB-B6B3-BDE5BB8954A1}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{54CD858E-BC72-483B-B7BA-7C3AFB1BD3CD}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{54CD858E-BC72-483B-B7BA-7C3AFB1BD3CD}] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}] SEQPACKET 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}] DATAGRAM 7
**** Blocked Control Panel Items ****
BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
**** Downloaded Program Files ****
{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://housecall.trendmicro-europe.com/housecall/Xscan53.cab] C:\WINDOWS\System32\msvcrt.dll C:\WINDOWS\System32\mfc42.dll C:\WINDOWS\loadhttp.dll C:\WINDOWS\aucfg.ini C:\WINDOWS\tmupdate.ini C:\WINDOWS\runtsckl.exe C:\WINDOWS\patchw32.dll C:\WINDOWS\Downloaded Program Files\xscan53.ocx
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{9F1C11AA-197B-4942-BA54-47A8489BB47F} [http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.3788194444]
{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]
**** Windows Services ****
[ 11Fßä#·ºÄÖ`I] C:\WINDOWS\system32\apixk32.exe /s
[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe
[ATI Smart] C:\WINDOWS\SYSTEM32\ati2sgag.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[Creative Service for CDROM Access] C:\WINDOWS\System32\CTsvcCDA.exe
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[de_serv] C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[NetSvc] C:\Programme\Intel\NCS\Sync\NetSvc.exe
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PcCtlCom] C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{8F19650A-BC62-4EB8-B5A1-EB4480CEF0F9}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[Tmntsrv] C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
[TmPfw] C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
[tmproxy] C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\System32\wdfmgr.exe
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[w32time] %SystemRoot%\system32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WMDM PMSP Service] C:\WINDOWS\System32\MsPMSPSv.exe
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs
**** Custom IE Search Items ****
SEARCH: [SearchAssistant] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
**** Complete IE Options ****
IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] about:blank
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Default_Page_URL] http://www.euro.dell.com/
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [AddToFavoritesExpanded]
IEOPT: [FormSuggest PW Ask] no
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [Use FormSuggest] no
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [FormSuggest Passwords] no
IEOPT: [Force Offscreen Composition]
IEOPT: [ShowGoButton] yes
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [NscSingleExpand]
IEOPT: [SmoothScroll]
IEOPT: [Page_Transitions]
IEOPT: [AllowWindowReuse]
IEOPT: [UseThemes]
IEOPT: [Print_Background] no
IEOPT: [Expand Alt Text] no
IEOPT: [Move System Caret] no
IEOPT: [Play_Animations] yes
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Show image placeholders]
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [AutoSearch]
IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\
IEOPT: [HistoryViewType]
IEOPT: [Use Search Asst] no
IEOPT: [Search Page] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Bar] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IEOPT: [Use Search Asst] no
IEOPT: [Default_Page_URL] about:blank
IEOPT: [Default_Search_URL] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Page] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Bar] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049