VX2 mit Pop-Ups, spätestens nach Neustart wieder da

#1 Einen schönen guten Morgen an all :-)

Ich habe folgenden Probleme:

-in die Internet-Favoriten haben sich einige Einträge eingefügt, die dort nicht hingehören (lookfor.cc, 7days.ws etc.)
- ständige Pop-Ups beim Aufruf von harmlosen Seiten (trotz über XP aktiviertem Pop-Up-Blocker)

Ich habe schon mehrfach über Scans die potentiellen Gefahren ausgefiltert und über "Fix it", Quarantäne Log" versucht sie zu beseitigen. Allerdings kommen die gleichen Störenfriede immer wieder, teilweise auch im laufenden Betrieb, spätestens aber nach dem Neustart des Rechners.

Zu VX2 habe ich auch gelsen, dass man betroffene .dll-Dateien auf dem Rechner haben müsste. Allerdings liefert DllCompare.exe kein Ergebnis:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.323 items found: 1.323 files, 0 directories.
Total of file sizes: 278.447.468 bytes 265,55 M

Administrator Account = Wahr

--------------------End log---------------------


Ich habe die folgenden Scanner der Reihe nach durchlaufen lassen, nachdem ich den Rechner neu gestartet habe und erstmal auch keine Dateien entfernt habe.

******************************************************
******************************************************
******************************************************

Ad-Aware se liefert folgendes:

Ad-Aware SE Build 1.05
Logfile Created on:Samstag, 30. April 2005 08:13:02
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R41 25.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch(TAC index:10):20 total references
VX2(TAC index:10):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R41 25.04.2005
Internal build : 48
File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 462131 Bytes
Total size : 1397647 Bytes
Signature data size : 1367126 Bytes
Reference data size : 30009 Bytes
Signatures total : 39003
Fingerprints total : 816
Fingerprints size : 28835 Bytes
Target categories : 15
Target families : 650


Memory + processor status:
==========================
Number of processors : 2
Processor architecture : Intel Pentium IV
Memory available:66 %
Total physical memory:1047548 kb
Available physical memory:688668 kb
Total page file size:2524108 kb
Available on page file:2289528 kb
Total virtual memory:2097024 kb
Available virtual memory:2040712 kb
OS:Microsoft Windows XP Home Edition Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Safe mode (always request confirmation)
Set : Scan registry
Set : Deep-scan registry

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


30.04.2005 08:13:02 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 892
ThreadCreationTime : 30.04.2005 06:03:24
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 968
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : High


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1012
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1024
ThreadCreationTime : 30.04.2005 06:03:27
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1248
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal


#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1264
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1464
ThreadCreationTime : 30.04.2005 06:03:28
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1900
ThreadCreationTime : 30.04.2005 06:03:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:9 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 328
ThreadCreationTime : 30.04.2005 06:03:31
BasePriority : Normal


#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 428
ThreadCreationTime : 30.04.2005 06:03:32
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:11 [ctsvccda.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 560
ThreadCreationTime : 30.04.2005 06:03:40
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:12 [pcctlcom.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 604
ThreadCreationTime : 30.04.2005 06:03:41
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : PcCtlCom Module
InternalName : PcCtlCom
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : PcCtlCom.EXE

#:13 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:14 [tmntsrv.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 852
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : Tmntsrv
InternalName : Tmntsrv
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : Tmntsrv.exe

#:15 [tmproxy.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 920
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 1.0.0.1116
ProductVersion : 1.0.0
ProductName : Trend Micro Network Security Components 1.0
CompanyName : Trend Micro Inc.
FileDescription : TmProxy.exe
InternalName : TmProxy.exe
LegalCopyright : Copyright (C) 2001-2004 Trend Micro Inc. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Inc.
OriginalFilename : TmProxy.exe

#:16 [vsmon.exe]
FilePath : C:\WINDOWS\SYSTEM32\ZoneLabs\
ProcessID : 1424
ThreadCreationTime : 30.04.2005 06:03:47
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : vsmon.exe

#:17 [mspmspsv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1484
ThreadCreationTime : 30.04.2005 06:03:48
BasePriority : Normal
FileVersion : 7.00.00.1954
ProductVersion : 7.00.00.1954
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE

#:18 [tmpfw.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 1856
ThreadCreationTime : 30.04.2005 06:03:51
BasePriority : Normal
FileVersion : 2.0.0.1116
ProductVersion : 1.0.0
ProductName : Trend Network Security Component 1.0
CompanyName : Trend Micro Inc.
FileDescription : TmPfw
InternalName : TmPfw
LegalCopyright : Copyright (C) 2001-2004 Trend Micro Inc. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Inc.
OriginalFilename : TmPfw.exe

#:19 [ipwi32.exe]
FilePath : C:\WINDOWS\
ProcessID : 2424
ThreadCreationTime : 30.04.2005 06:05:23
BasePriority : Normal


VX2 Object Recognized!
Type : Process
Data : ipwi32.exe
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\


Warning! VX2 Object found in memory(C:\WINDOWS\ipwi32.exe)

"C:\WINDOWS\ipwi32.exe"Process terminated successfully
"C:\WINDOWS\ipwi32.exe"Process terminated successfully

#:20 [wscntfy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2552
ThreadCreationTime : 30.04.2005 06:05:25
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Security Center Notification App
InternalName : wscntfy.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : wscntfy.exe

#:21 [pccguide.exe]
FilePath : C:\PROGRA~1\TRENDM~1\INTERN~1\
ProcessID : 2592
ThreadCreationTime : 30.04.2005 06:05:28
BasePriority : Normal
FileVersion : 12.10.0.1335
ProductVersion : 12.10.0
ProductName : Trend Micro Internet Security
CompanyName : Trend Micro Incorporated.
FileDescription : PCCGuide
InternalName : PCCGuide
LegalCopyright : Copyright (C) 1995-2004 Trend Micro Incorporated. All rights reserved.
LegalTrademarks : Copyright (C) Trend Micro Incorporated.
OriginalFilename : PCCGuide

#:22 [ctsysvol.exe]
FilePath : C:\Programme\Creative\SBAudigy2\Surround Mixer\
ProcessID : 2776
ThreadCreationTime : 30.04.2005 06:05:42
BasePriority : Normal
FileVersion : 1.1.3.0
ProductVersion : 1.0.0.0
ProductName : Creative Volume Control
CompanyName : Creative Technology Ltd
FileDescription : CTSysVol.exe
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002. All rights reserved.
OriginalFilename : CTSysVol.exe

#:23 [ctdvddet.exe]
FilePath : C:\Programme\Creative\SBAudigy2\DVDAudio\
ProcessID : 2792
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1.0.2.0
ProductVersion : 1.0.2.0
ProductName : CTDVDDET
CompanyName : Creative Technology Ltd
FileDescription : CTDVDDET
InternalName : CTDVDDET
LegalCopyright : Copyright (c) Creative Technology Ltd., 2002. All rights reserved.
OriginalFilename : CTDVDDET.EXE

#:24 [cthelper.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2800
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1, 0, 0, 11
ProductVersion : 1, 0, 0, 11
ProductName : CtHelper Application
CompanyName : Creative Technology Ltd
FileDescription : CtHelper MFC Application
InternalName : CtHelper
LegalCopyright : Copyright (C) 2002
OriginalFilename : CtHelper.EXE

#:25 [dsentry.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2816
ThreadCreationTime : 30.04.2005 06:05:43
BasePriority : Normal
FileVersion : 1, 0, 5, 0
ProductVersion : 1, 0, 5, 0
ProductName : Dell - DVDSentry
CompanyName : Dell - Advanced Desktop Engineering
FileDescription : DVDSentry
InternalName : DVDSentry
LegalCopyright : Copyright © 2002 Dell
OriginalFilename : DSentry.exe
Comments : DVDSentry launches your software DVD player when a DVD is inserted.

#:26 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 3072
ThreadCreationTime : 30.04.2005 06:05:45
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : Zone Labs Client
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : zlclient.exe

#:27 [netgx32.exe]
FilePath : C:\WINDOWS\
ProcessID : 3080
ThreadCreationTime : 30.04.2005 06:05:45
BasePriority : Normal


#:28 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3240
ThreadCreationTime : 30.04.2005 06:05:46
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:29 [em_exec.exe]
FilePath : C:\Programme\Logitech\MouseWare\system\
ProcessID : 3260
ThreadCreationTime : 30.04.2005 06:05:47
BasePriority : Normal
FileVersion : 9.80.019
ProductVersion : 9.80.019
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Logitech Events Handler Application
InternalName : Em_Exec
LegalCopyright : (C) 1987-2004 Logitech. All rights reserved.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : Em_Exec.exe
Comments : Created by the MouseWare team

#:30 [ntvdm.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3548
ThreadCreationTime : 30.04.2005 06:05:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : NTVDM.EXE
InternalName : NTVDM.EXE
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : NTVDM.EXE

#:31 [ocrawr32.exe]
FilePath : C:\PROGRA~1\OPLIMIT\
ProcessID : 3712
ThreadCreationTime : 30.04.2005 06:06:06
BasePriority : Normal
FileVersion : 5, 0, 0, 1
ProductVersion : 5, 0, 0, 1
ProductName : OmniPage Limited Edition
CompanyName : Caere Corporation
FileDescription : Ocraware32
InternalName : Ocraware32
LegalCopyright : Copyright © 1995 Caere Corporation
OriginalFilename : Ocrawr32.exe

#:32 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 488
ThreadCreationTime : 30.04.2005 06:12:48
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : File
Data : imtfi.txt
Category : Malware
Comment :
Object : C:\WINDOWS\



CoolWebSearch Object Recognized!
Type : File
Data : beext.dat
Category : Malware
Comment :
Object : C:\WINDOWS\SYSTEM32\



CoolWebSearch Object Recognized!
Type : File
Data : zxmmr.dat
Category : Malware
Comment :
Object : C:\WINDOWS\



Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

VX2 Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\toolbar\webbrowser
Value : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\urlsearchhooks

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\urlsearchhooks
Value : {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD}

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\search
Value : SearchAssistant

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Bar

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft
Value : set

CoolWebSearch Object Recognized!
Type : RegData
Data : no
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no

CoolWebSearch Object Recognized!
Type : RegData
Data : no
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no

CoolWebSearch Object Recognized!
Type : RegData
Data : about:blank
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Start Page
Data : about:blank

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 18
Objects found so far: 22

08:28:58 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:15:56.312
Objects scanned:248540
Objects identified:22
Objects ignored:0
New critical objects:22

******************************************************
******************************************************
******************************************************

hijackthis liefert folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 08:35:08, on 30.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\netgx32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\OPLIMIT\ocrawr32.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\apiiy32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\DllCompare.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe
O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe
O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

******************************************************
******************************************************
******************************************************

Die Auswertung des hijackthis-files über die Online-Auswertung (lässt sich nicht gut hierrein posten wegen der Formatierung) liefert die folgenden bösen oder evtl. bösen Einträge:

C:\WINDOWS\netgx32.exe
Unbekannt Laufender Prozess. (netgx32.exe)
Dies ist ein unbekannter Prozess.

C:\WINDOWS\system32\apiiy32.exe
Unbekannt Laufender Prozess. (apiiy32.exe)
Dies ist ein unbekannter Prozess.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

R3 - Default URLSearchHook is missing
Böse Sollte gefixt werden, wenn kein bekanntes (oder gar kein) Programm erwähnt wird. Dieser Eintrag sollte gefixt werden!

O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe
Eventuell Böse
Trefferquote: 6 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate) Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.

******************************************************
******************************************************
******************************************************

Wenn ich diese bösen Einträge fixen will, bleiben trotzdem

R3 - Default URLSearchHook is missing

auch weiterhin bestehen.

Spätestens beim Neustart kommen exe-Dateien wieder (mit verändertem Namen) sowie auch die Search Page und Search Bar Einträge, so dass ich nach jedem Neustart wieder von vorne anfange.

Ich hoffe ich habe nicht zu viel gepostet und damit zuviel Datenflut geliefert. Für einen Tip und Hilfe wäre ich sehr dankbar.



EDIT:

Ich habe noch das Ergebnis mit CWShredder v2.14 vergessen:


**** Run Keys ****

RUN: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
RUN: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
RUN: [CTHelper] CTHELPER.EXE
RUN: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
RUN: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
RUN: [Logitech Utility] Logi_MwX.Exe
RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
RUN: [netgx32.exe] C:\WINDOWS\netgx32.exe
RUN: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
RUN: [Sonic RecordNow!]
RUN: [SB Audigy 2 Startup Menu] /L:GER


**** Browser Helper Objects ****

BHO: [] C:\WINDOWS\system32\atlde.dll


**** IE Toolbars ****



**** IE Extensions ****

IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****



**** IE Settings ****

Default Page: about:blank
Default Search: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Local Page: C:\WINDOWS\system32\blank.htm
Search Bar: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
Search Page: res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{FAA0495A-72C7-46A9-9887-95AEC8469908}] SEQPACKET 9
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{FAA0495A-72C7-46A9-9887-95AEC8469908}] DATAGRAM 9
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] SEQPACKET 10
LSP: MSAFD NetBIOS [\Device\NetBT_NETDSL_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] DATAGRAM 10
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] SEQPACKET 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2E0BE23-BE5E-4968-9214-12AFBD9F43AD}] DATAGRAM 8
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{53939020-29E2-489C-B227-5C7CBE96E367}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{53939020-29E2-489C-B227-5C7CBE96E367}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D92B2AF6-7E32-4FE6-B3C2-1BD7C6E3D2BA}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D92B2AF6-7E32-4FE6-B3C2-1BD7C6E3D2BA}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FAA0495A-72C7-46A9-9887-95AEC8469908}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FAA0495A-72C7-46A9-9887-95AEC8469908}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3F32247F-3FBA-4395-B45E-E71DB08DDEED}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3F32247F-3FBA-4395-B45E-E71DB08DDEED}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CEAE4439-E815-4BDB-B6B3-BDE5BB8954A1}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CEAE4439-E815-4BDB-B6B3-BDE5BB8954A1}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{54CD858E-BC72-483B-B7BA-7C3AFB1BD3CD}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{54CD858E-BC72-483B-B7BA-7C3AFB1BD3CD}] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}] SEQPACKET 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}] DATAGRAM 7


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://housecall.trendmicro-europe.com/housecall/Xscan53.cab] C:\WINDOWS\System32\msvcrt.dll C:\WINDOWS\System32\mfc42.dll C:\WINDOWS\loadhttp.dll C:\WINDOWS\aucfg.ini C:\WINDOWS\tmupdate.ini C:\WINDOWS\runtsckl.exe C:\WINDOWS\patchw32.dll C:\WINDOWS\Downloaded Program Files\xscan53.ocx
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{9F1C11AA-197B-4942-BA54-47A8489BB47F} [http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.3788194444]
{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[ 11Fßä#·ºÄÖ`I] C:\WINDOWS\system32\apixk32.exe /s
[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe
[ATI Smart] C:\WINDOWS\SYSTEM32\ati2sgag.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[Creative Service for CDROM Access] C:\WINDOWS\System32\CTsvcCDA.exe
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[de_serv] C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[NetSvc] C:\Programme\Intel\NCS\Sync\NetSvc.exe
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PcCtlCom] C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{8F19650A-BC62-4EB8-B5A1-EB4480CEF0F9}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[Tmntsrv] C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
[TmPfw] C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
[tmproxy] C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\System32\wdfmgr.exe
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[w32time] %SystemRoot%\system32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WMDM PMSP Service] C:\WINDOWS\System32\MsPMSPSv.exe
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] about:blank
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Default_Page_URL] http://www.euro.dell.com/
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [AddToFavoritesExpanded]
IEOPT: [FormSuggest PW Ask] no
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [Use FormSuggest] no
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] no
IEOPT: [FormSuggest Passwords] no
IEOPT: [Force Offscreen Composition]
IEOPT: [ShowGoButton] yes
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [NscSingleExpand]
IEOPT: [SmoothScroll]
IEOPT: [Page_Transitions]
IEOPT: [AllowWindowReuse]
IEOPT: [UseThemes]
IEOPT: [Print_Background] no
IEOPT: [Expand Alt Text] no
IEOPT: [Move System Caret] no
IEOPT: [Play_Animations] yes
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Show image placeholders]
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [AutoSearch]
IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\
IEOPT: [HistoryViewType]
IEOPT: [Use Search Asst] no
IEOPT: [Search Page] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Bar] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IEOPT: [Use Search Asst] no
IEOPT: [Default_Page_URL] about:blank
IEOPT: [Default_Search_URL] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Page] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
IEOPT: [Search Bar] res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049

#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.
Rolfs

#3 Hallo Rolfs,

ich habe die folgenden Schritte ausgeführt:

- Scan mit Ad-Aware
- Scan mit Spybot
- Scan mit CWShredder
Der Virenscanner Trend Micro PC wurde bereits beim Scan mit Ad-Aware aktiv (Echtzeitsuche) und meldete einige Schädlinge.

Ich habe aber nach den o.g. Scans noch keine Säuberung durchgeführt! Anschliessend habe ich HijackThis laufen lassen. Hier ist das HijackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 20:08:27, on 30.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\OPLIMIT\ocrawr32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\CWShredder.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

#4 Hallo@toro

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

das Tool liefert folgendes Ergebnis:


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "11Fßä#·ºÄÖ`I" 30.04.2005 22:43:36

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]

#6 Start-->Ausfuehren->regedit

bearbeiten--> suchen--> (reinkopieren)-->11Fßä#·ºÄÖ`I

mit rechtsklick loeschen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.




#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wzgxe.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5A197AF4-5935-49F9-0E5B-5ABD9A8F62AD} - C:\WINDOWS\system32\atlde.dll
O4 - HKLM\..\Run: [netgx32.exe] C:\WINDOWS\netgx32.exe
O4 - HKLM\..\RunOnce: [ipwi32.exe] C:\WINDOWS\ipwi32.exe
O4 - HKLM\..\RunOnce: [apiiy32.exe] C:\WINDOWS\system32\apiiy32.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apixk32.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\ipwi32.exe
C:\WINDOWS\netgx32.exe
C:\WINDOWS\imtfi.txt
C:\WINDOWS\zxmmr.dat
C:\WINDOWS\SYSTEM32\beext.dat
C:\WINDOWS\system32\apiiy32.exe
C:\WINDOWS\system32\atlde.dll
C:\WINDOWS\system32\wzgxe.dll
C:\WINDOWS\system32\apixk32.exe

PC neustarten

•Antivirus (free)--> gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt und scanne dort)--> dann poste mir den Report vom Scann
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

dann poste mir den Report vom Scann+ das neue Log vom HijackTHis


__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

anbei das Ergebnis des AntiVir Scans im abgesicherten Modus. Das Ergebnis macht mich aber nicht sonderlich froh :-(

Die eine gefundene exe.Datei habe ich manuell gelöscht, da AntiVir sie nicht entfernen konnte. Alle anderen habe ich über die OK-Bestätigung während des AntiVir-Scans löschen lassen bzw. es versuchen lassen.

Auf jeden Fall schonmal ein dickes Dankeschön für Deine Arbeit :-)))

toro


Erstellungsdatum der Reportdatei: Sonntag, 1. Mai 2005 19:05

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.147 (0) vom 01.05.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 161485 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Andreas
Computername: HOME
Prozessor: Pentium
Arbeitsspeicher: 1047548 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.145 1085480 29.04.2005 14:52:56
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 29.08.2002 07:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 09:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 09:57:28
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Andreas\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Sonntag, 1. Mai 2005 19:05

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
Advertisingcom.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom18.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom19.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom20.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom21.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom22.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom23.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom24.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom25.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom26.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom27.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom28.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom29.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom30.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom31.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom32.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom33.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom34.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BFast.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HuntBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nCase.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentials9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentialsSmartPops.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
NetworkEssentialsSmartPops1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker18.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker19.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TargetNet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
VirtualBouncer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
VirtualBouncer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis Buena Vista Interactive
Fehler beim Wechsel in das Verzeichnis GROUND CONTROL II
C:\Dokumente und Einstellungen\Andreas
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen
tis12de_gm_eval.exe
ArchiveType: CAB SFX (self extracting)
--> \Setup\program files\Trend Micro\PC-cillin\tmproxy.exe
[FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp
temp.fr1D77
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis Buena Vista Interactive
C:\Programme\Trend Micro\Internet Security 12
tmproxy.exe
[FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic
WURDE GELÖSCHT!
C:\Programme\Trend Micro\Internet Security 12\Quarantine
161.tmp
[FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C
WURDE GELÖSCHT!
162.tmp
[FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C
WURDE GELÖSCHT!
163.tmp
[FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C
WURDE GELÖSCHT!
164.tmp
[FUND!] Enthält Signatur des Java-Virus Java/ClassLoader.C
WURDE GELÖSCHT!
C:\Programme\Windows Media Player
wmplayer.exe.tmp
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300909 (Dialer)
WURDE GELÖSCHT!
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP174
A0068451.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068474.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068481.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP175
A0068484.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068487.INI:miriu
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
A0068488.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068519.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068520.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0068542.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP185
A0068691.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP198
A0070894.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0070914.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
A0070963.INI:miriu
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
A0070973.INI:miriu
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
A0070986.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0071976.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP199
A0072036.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072037.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072040.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072041.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072043.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072044.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072045.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072046.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072047.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072048.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072049.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072050.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072051.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072052.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072053.exe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
A0072054.exe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
A0072055.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
A0072063.exe
[FUND!] Enthält verdächtigen Code: Heuristic/Backdoor.Generic
WURDE GELÖSCHT!
C:\WINDOWS
002230_.tmp:dcrjyk
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
AlphaPlayer.INI:cbppp
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
asvps.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
CONTROL.INI:zpbvv
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
DirectX.log:akqowz
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
Edofma.INI:cdcszr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
EXPLORER.SCF:quqna
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
FaxSetup.log:uevxtb
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
IIS6.LOG:vhgyk
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
jkbxq.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
KB825119.log:kaopc
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
KB828028.log:buvvbs
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
KB834707-IE6SP1-20040929.091901.log:clixb
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
KB841533.log:ggcnkm
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
KB873376.log:nenrh
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
KB893803.log:jrjhq
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
q812415.log:vezza
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
sdkhr.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sdkzb32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sessmgr.setup.log:infmg
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
sysal.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sysdw.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sysdw32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sysmn32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
tsc.ptn:zoguv
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
Vtw.INI:miriu
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
WINNT.BMP:ejzvs
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
WINNT256.BMP:xvupd
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
winstart.bat:vlqdm
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
ylffv.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
zdggc.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
{00000002-00000000-00000000-00001102-00000004-10031102}.BAK:knmbxv
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:vopuui
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:ugkhva
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:nttbu
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:mpkrtr
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:kkwcgs
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:eiaydz
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
{00000002-00000000-00000001-00001102-00000004-10031102}.CDF:bnzshe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
C:\WINDOWS\SYSTEM32
akupd.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.BR
WURDE GELÖSCHT!
atlap32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
atlzc.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
crpc32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
d3cb32.exe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
ehogf.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
ipos.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
ipzd.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
javaej.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
javalj.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
javash32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
netpe32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
netqy32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
ntkr.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
ntvq32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
ntyj32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
ssdfx.dll
[FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
WURDE GELÖSCHT!
sysoa32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sysyc.exe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
WURDE GELÖSCHT!
winhj32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\WINDOWS\SYSTEM32\CONFIG
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Sonntag, 1. Mai 2005 21:12
Benötigte Zeit: 126:36 min


7987 Verzeichnisse wurden durchsucht
232676 Dateien wurden geprüft
22 Warnungen wurden ausgegeben
100 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
101 Viren bzw. unerwünschte Programme wurden gefunden

#8 nun gut, scanne nun bitte noch einmal und berichte (im abgesicherten Modus)

dann mache einen Onlinescan (wenn dein Antivirus "meckert"-> ignorieren)

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

dann poste auch das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

leider konnte ich den Online-Scan nicht im abgesicherten Modus durchführen, da ich dann keine Internetverbindung (DSL) aufbauen konnte, d.h. bei Betätigen der Desktopverknüpfung passierte überhaupt nichts. Das ging erst wieder nach dem "normalen" Start.


Hier ist der Scan mit PANDA:

Incident Status Location

Adware:Adware/nCase No disinfected Windows Registry
Adware:Adware/WinTools No disinfected C:\Programme\Gemeinsame Dateien\WinTools
Adware:Adware/AdDestroyer No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AdDestroyer
Adware:Adware/VirtualBouncer No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VBouncer
Adware:Adware/TopConvert No disinfected Windows Registry
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Ab scissor.url
Adware:Adware/CWS.HomeSearchAsisstantNo disinfected Windows Registry
Virus:Trj/Downloader.CFJ Disinfected Operating system
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Only sex website.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Search the web.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Seven days of free porn.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Andreas\Favoriten\Sites about\What is hydrocodone.url
Possible Virus. No disinfected C:\Programme\GameSpy Arcade\fpupdate.exe
Possible Virus. No disinfected C:\Programme\Liquid Entertainment\DER RINGKRIEG™\fpupdate.exe
Spyware:Spyware/Virtumonde No disinfected C:\WINDOWS\SYSTEM32\akcore.dll
Adware:Adware/Look2Me No disinfected C:\WINDOWS\SYSTEM32\i8jqli1518.dll

Hier ist der Scan mit HiJackThis (mit normalem Start):

Logfile of HijackThis v1.99.1
Scan saved at 23:44:42, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\OPLIMIT\ocrawr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBF3CAA3-1D5E-42B5-83DB-876AD4DEC692}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe



Und hier ist HiJackThis im angesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 22:12:48, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Installationen\VX2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - Startup: OCRAWARE.lnk = C:\Programme\OPLIMIT\OCRAWARE.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{53939020-29E2-489C-B227-5C7CBE96E367}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB3D39C-DBB6-4E40-937D-05C520E77E0C}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe