Schon wieder Ebates Money Maker!+ Winfixer2005

#1 Schönen guten Tag,
ich bin neu hier im Forum und habe die Suchfunktion schon genutzt doch da die Lösungen ja von Sys zu Sys variieren hier ein neuer Thread.Leider bekomme ich dieses f*cking Programm nicht ganz weg AdAware zeigt mir immer wieder 6-8 Reg werte an.
Wie ich schon bemerkt habe braucht ihr immer die Log vom HjjackThis,also hier ist sie:

Logfile of HijackThis v1.99.1
Scan saved at 14:49:03, on 08.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
E:\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_03\bin\javaw.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\PROGRA~1\AD-AWA~1\Ad-Watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HjjackThis\HijackThis.exe

O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitefbe32.exe
O4 - HKCU\..\Run: [AWMON] "D:\PROGRA~1\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD449F75-E864-4EF7-9D54-6EA4125CC376}: NameServer = 195.50.140.252 145.253.2.81
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\Tuneup\WinStylerThemeSvc.exe

Ich bedanke mich schon mal im Vorraus für euere Hilfe viele Grüße
Mütze

#2 Hallo@muetze82

•Antivirus (free)
http://virus-protect.org/antivirenfree.html
Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitefbe32.exe


PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscan + poste mir den Report vom SCan
__________
MfG Sabina

rund um die PC-Sicherheit

#3 so ich glaub es sieht ganz gut aus hier ist der Report von Antivir ich hoffe ee ist nicht zu lang:
Ach ja nochwas der AntivirGuard lässst sich irgendwie nich so richtig aktivieren bei Service Status steht immer:Nicht geladen???

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Muetze313
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVEWIN32.DLL : 6.31.0.5 823808 06.06.2005 12:44:28
AVGNT.EXE : 6.31.00.01 168039 10.05.2005 16:49:30
AVGUARD.EXE : 6.31.00.01 238120 29.04.2005 08:06:40
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:40
AVGCMSG.DLL : 6.31.00.00 295029 29.04.2005 08:06:38
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:10
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:18
AVRep.DLL : 6.31.00.08 1155112 07.06.2005 14:08:54
INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:06:42
INETUPD.DLL : 6.31.00.02 159744 29.04.2005 08:06:42
CTL3D32.DLL : 2.31.000 27136 18.08.2001 21:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 00:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 00:57:30
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\Programme\AVPersonal\BUILD.DAT
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: Festplatte
F: Festplatte
G: CDRom
H: CDRom
I: CDRom
J: CDRom

Start des Suchlaufs: Mittwoch, 8. Juni 2005 15:31

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK
Bootsektor von Laufwerk F: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Muetze313
ntuser.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Muetze313\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Muetze313\Lokale Einstellungen\Temp
bb.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A
WURDE GELÖSCHT!
bit2.exe
[FUND!] Enthält Signatur des Droppers DR/Bitcoll.2
WURDE GELÖSCHT!
bitcoll.dll
[FUND!] Enthält Signatur des Droppers DR/Bitcoll.3
WURDE GELÖSCHT!
sidefind.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JM.2
WURDE GELÖSCHT!
suicidetb.exe
[FUND!] Enthält Code des PMS/ToolBar.EliteBar.Z-Virus
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Muetze313\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7PPM1GOJ
istsvc[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JR
WURDE GELÖSCHT!
sidefind[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JM.2
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Muetze313\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LH7Q1OTD
bb[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A
WURDE GELÖSCHT!
istbarcm[1].dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IK
WURDE GELÖSCHT!
offeragent[1].exe
[FUND!] Ist das Trojanische Pferd TR/Shiwt
WURDE GELÖSCHT!
targetsaver[1].exe
[FUND!] Enthält Signatur des Droppers DR/Dldr.TSUpdate.J
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Muetze313\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RYJG269Q
protector_update[1].exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\AVPersonal\INFECTED
elitefbe32.VIR
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.7
WURDE GELÖSCHT!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS
switpa.exe
[FUND!] Ist das Trojanische Pferd TR/Shiwt
WURDE GELÖSCHT!
C:\WINDOWS\system32
eliteehn32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteesa32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
elitegdc32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteinf32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.7
WURDE GELÖSCHT!
elitejna32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteker32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
elitekye32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteldi32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteowm32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
elitepov32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteukb32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
elitevty32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteycn32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
eliteyrv32.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
temperror32.dat
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.7
WURDE GELÖSCHT!
username.exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.7
WURDE GELÖSCHT!
wuauclt10.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IQ
WURDE GELÖSCHT!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4L2Z052J
protector_update[1].exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!
protector_update[2].exe
[FUND!] Ist das Trojanische Pferd TR/StartPage.nk.8.A
WURDE GELÖSCHT!


D:\downloaded stuff\Style und Design\765 Themes For Windows Xp By Lordnik For The Black Dragon\Temi x Windows XP\Focus
Focus.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
D:\downloaded stuff\Style und Design\765 Themes For Windows Xp By Lordnik For The Black Dragon\Temi x Windows XP\I Am
IAM.exe
ArchiveType: ACE SFX (self extracting)
--> IAM\Wallpaper\IAM.bmp
HINWEIS! Die Datei ist passwortgeschützt
--> IAM\Wallpaper\Thumbs.db
HINWEIS! Die Datei ist passwortgeschützt
--> IAM\IAM.msstyles
HINWEIS! Die Datei ist passwortgeschützt
--> IAM.theme
HINWEIS! Die Datei ist passwortgeschützt
--> IAM.theme:SummaryInformation
HINWEIS! Die Datei ist passwortgeschützt
--> IAM.theme:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
HINWEIS! Die Datei ist passwortgeschützt
D:\downloaded stuff\Style und Design\Handy\Töne Bilder Spiele
Java3 (Java Game e380 e398 c300 c350 c353 c355 c359 c375 c266 c268 c550 c650).rar
ArchiveType: RAR
--> JAVA3\¼²²y1.zip
ArchiveType: ZIP
--> nineball.jad
Unkown Error
--> NineBall.jar
HINWEIS! Unerwartetes Dateiende erreicht
D:\downloaded stuff\Style und Design\Handy\Töne Bilder Spiele\JAVA2
???(??).rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.ara.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
?????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
??1.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
??2.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???(???).zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???(?).rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
????.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
???.rar
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\downloaded stuff\Style und Design\Handy\Töne Bilder Spiele\Klingeltöne
Jamba_Hits_Vol.2.rar
ArchiveType: RAR
--> Jamba_Hits_Vol.2_for_www.goldesel.to\00-va_-_jamba_hits_vol.2-cd-2005-front-nbd.jpg
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\00-va_-_jamba_hits_vol.2-cd-2005-nbd.m3u
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\01_jamba_rhino_spike_-_shake_that_thing-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\02_schnappi-das_kleine_krokodil_-_schnappi_das_kleine_krokodil-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\03_nu_pagadi_-_sweetest_poison-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\04_vanilla_ninja_-_blue_tatto-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\05_juli_-_geile_zeit-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\06_lukas_hilbert_-_was_ich_an_dir_mag-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\07_soehne_mannheims_-_und_wenn_ein_lied-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\08_jeanette_-_run_with_me-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\09_the_rasmus_-_in_my_life-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\10_rosenstolz_-_ich_komm_an_dir_nicht_weiter-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\11_4_united_-_dont_close_your_eyes-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\12_3rd_wish_-_nina-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\13_dominic_saleh-zaki_-_love_is_the_message-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\14_boppin_b_-_if_you_belive-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\15_groove_coverage_-_runaway-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\16_thomas_schumacher_-_tainted_schall-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\17_michael_gray_-_the_weekend-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\18_danzel_-_pump_it_up-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\19_eric_prydz_-_call_on_me-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\20_scooter_-_one_(always_hardcore)-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\21_global_deejays_-_the_sound_of_san_francisco-nbd.mp3
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\GoldEsel_-_visit_us_for_more_brandnew_stuff.url
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\Tracklist.txt
HINWEIS! Die Datei ist passwortgeschützt
--> Jamba_Hits_Vol.2_for_www.goldesel.to\Wichtig_Lesen_Goldesel_Adressen.txt
HINWEIS! Die Datei ist passwortgeschützt
D:\downloaded stuff\Verschiedenes\Dokumente\Schriftstücke\Favoriten\Foren und Boards
ULTRA XXX PASSWORDS - Custom hacked xxx passwords! Thousands of free xxx passwords! The best free xxx password site on the web! ultrapasswords ultrapassword ultrapasswords.com.url
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\My eBooks\Die besten Tipps und Tricks für P2P
Die besten Tipps und Tricks für P2P.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
D:\My eBooks\Dr Oetker Party Rezepte
Dr Oetker Party Rezepte.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
D:\My eBooks\FHM Dessous Special
FHM Dessous Special.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
D:\My eBooks\Kochen - Vox Kochduell (ca.3500 Rezepte)
(ebook.-.german) Kochen - Vox Kochduell (ca.3500 Rezepte).rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
D:\My eBooks\Perfekter Sex - Gebrauchsanleitung\Anleitung - Analsex
Anleitung - Analsex.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
D:\My eBooks\Zwölf Gute Gründe Für Sex
Zwölf Gute Gründe Für Sex.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
D:\RECYCLER\NPROTECT
00010716.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
00010930.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
00012942.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
00013012.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
00013041.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
00013042.
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\RECYCLER\S-1-5-21-484763869-1993962763-1957994488-1003\Dd2
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information


E:\RECYCLER\S-1-5-21-484763869-854245398-839522115-1003
De1.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De10.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De2.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De24.rar
ArchiveType: RAR
--> Eimsbush Tape 1 - Dynamite Deluxe DemoTape\Dynamite Deluxe - Demo Tape.mp3
HINWEIS! Die Datei ist passwortgeschützt
De3.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De4.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De5.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De6.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De7.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De8.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
De9.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information


F:\msdownld.tmp\AS089BFA.tmp
audio_nt.cab
ArchiveType: CAB (Microsoft)
--> dmband.dll
HINWEIS! Der Archivheader ist defekt
--> dmcompos.dll
HINWEIS! Der Archivheader ist defekt
--> dmime.dll
HINWEIS! Der Archivheader ist defekt
--> dmloader.dll
HINWEIS! Der Archivheader ist defekt
--> dmscript.dll
HINWEIS! Der Archivheader ist defekt
--> dmstyle.dll
HINWEIS! Der Archivheader ist defekt
--> dmsynth.dll
HINWEIS! Der Archivheader ist defekt
--> dsdmo.dll
HINWEIS! Der Archivheader ist defekt
--> dsound.inf
HINWEIS! Der Archivheader ist defekt
--> dsound.vxd
HINWEIS! Der Archivheader ist defekt
--> dsound3d.dll
HINWEIS! Der Archivheader ist defekt
--> dswave.dll
HINWEIS! Der Archivheader ist defekt
--> dmusic.inf
HINWEIS! Der Archivheader ist defekt
F:\Play it Yeahh\VA---Verschiedene Künstler Von A bis Z\Zum Brennen\Anastacia - Freak of Nature-Collectors Edition 2CD's (2002; mp3 VBR + covers)
Anastacia - Freak Of Nature (Collectors Edition 2002) CD2 - 01 - I Thought I Told You That (Featuring Faith Evans).mp3
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Anastacia - Freak Of Nature (Collectors Edition 2002) CD2 - 05 - One Day In Your Life (Hex Hector_Mac Quayle Club Mix).mp3
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Anastacia - Freak Of Nature (Collectors Edition 2002) CD2 - 07 - Freak Of Nature (Live From Japon, 13 Sept 2002).mp3
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Anastacia - Freak Of Nature (Collectors Edition 2002) CD2 - 08 - Overdue Goodbye (Live From Japon, 13 Sept 2002).mp3
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Mittwoch, 8. Juni 2005 16:43
Benötigte Zeit: 72:21 min


6352 Verzeichnisse wurden durchsucht
149431 Dateien wurden geprüft
51 Warnungen wurden ausgegeben
33 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
33 Viren bzw. unerwünschte Programme wurden gefunden

#4 Hallo@muetze82

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



mache Onlinescans+ berichte
http://virus-protect.org/onlinescan.html

dann poste bitte das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina zuerst nochmal Danke für deine Hilfe im Moment ist eigentlich alles ok in meinem Rechner.
Habe keine OnlieScans mehr gemacht nur ein kleenes Problem hätt eich da noch.
Und zwar auf meinem Desktop ist ne exe mit dem Namen "nfsu2 keyg*hier nicht*.exe" die leider nich gelöscht werden kann auch nich im abgesicherten Modus.

Wenn ich auf die Eigenschaften der Datei gehe sehe ich das das"C:\DOKUME~1\MUETZE~1\Desktop\NFSU2K~1.EXE" die Befehlszeile ist und hier steht unter Erweitert noch dieses:

%SystemRoot%\SYSTEM32\AUTOEXEC.NT

%SystemRoot%\SYSTEM32\CONFIG.NT

Sag mir doch bitte wie ich dieses blöde Ding wegbekomme?

#6 •KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"


C:\DOKUME~1\MUETZE~1\Desktop\NFSU2K~1.EXE


C:\DOKUME~1\MUETZE~1\Desktop\nfsu2 keyg*hier nicht*.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi liebes Sabinchen wenn ich das so sagen darf,
du bist glaub ich sowas wie das Englein für die von Viren betroffenen Usern.
Hat auf jeden Fall geklappt mit der Killbox,wieso machen die den so komische Files die sich irgendwie auf der Dos Ebene starten?Wer hat was davon?

Naja egal, wollte noch fragen warum darf ich die exe nich hinter keyg*hier nicht* schreiben??Verstehe ich nich so ganz.

Anonsten auf jeden Fall vielen vielen Dank für die kompetente Hilfe!

THX
Mütze

#8 Schade willste oder darfste mir keine Antwort geben??
Oder biste angepi**t weil ich die Online-Scans nicht gemacht habe?

Auf jeden Fall nix für ungut ja.

#9 auch ein Engel ist nicht immer Online, musst du auch verstaendnis fuer haben....

Zitat

warum darf ich die exe nich hinter keyg*hier nicht* schreiben?

wenn man etwas in die killbox eingibt, muss der pfad korrekt sein, in diesem Fall:

C:\DOKUME~1\MUETZE~1\Desktop\nfsu2 keyg*hier nicht*.exe


ich hab das gefuehl ich finde noch was .....
mache folgendes:

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus

einzeln reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ooops sorry das ich nicht mehr geantwortet habe aber hätte nich gedacht das du nochmal schreibst.

Ist ja interessant was du da als letztes geschrieben hast aber ich denke ich brauch es nicht mehr zu machen da ich mein System in der Zeit soweiso nochmal neu aufgesetzt habe.
Aber wozusind diese Befehle gut?
Bin mir auch sicher das ich nichts schlimmes aiufm Rechner drauf habe.

Aber etwas hätte ich da noch also:

Seit gestern habe ich ein großes Problem! Sobald ich online gehe erscheint eine Rundll-error-Nachricht, mit folgenden Inhalt:

Fehler beim laden von û]öw

Ganz komisch hier mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:47:10, on 12.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\lsass.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\System32\system12.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\downloaded stuff\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\jkklm.dll
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKCU\..\Run: [A8V SmartFan] C:\Programme\A8VSmartFan\A8VSmartFan.exe -a
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128390325781
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF3565A5-B61D-4D27-B3AB-6694E57B70F9}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: jkklm - C:\WINDOWS\SYSTEM32\jkklm.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


ALso das hier: O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe kommt mir komisch vor.

Ich sach jetzt schonmal danke für die Hilfe schöne Grüße
Matthias

#11 ja, der PC ist mal wieder verseucht, aber diesmal musst du alles ausfuehren, was ich schreibe...sonst kann ich dir nicht weiterhelfen............

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Jo moin nochmal also ich habe gestern Abend noch Kaspersky im abgesicherten Modus drüber laufen lassen und er hat auch ein parr Dinge entfernt.

Ansonsten kommen hier die Logs:

Verzeichnis von C:\WINDOWS\system32

13.11.2005 02:33 347.690 vvvwa.ini
13.11.2005 00:26 347.337 vvvwa.bak1
13.11.2005 00:26 544.788 awvvv.dll
12.11.2005 04:18 19.206 OODBS.lor
10.11.2005 21:48 27.149 jkklm.dll
09.11.2005 22:05 2.206 wpa.dbl
04.11.2005 00:29 15.360 BASSMOD.dll
30.10.2005 20:58 28 mcheck.mhf
30.10.2005 12:56 23.392 nscompat.tlb
30.10.2005 12:56 16.832 amcompat.tlb
30.10.2005 12:47 391.000 perfh007.dat
30.10.2005 12:47 52.764 perfc009.dat
30.10.2005 12:47 63.580 perfc007.dat
30.10.2005 12:47 380.350 perfh009.dat
30.10.2005 12:47 897.954 PerfStringBackup.INI
04.10.2005 19:42 98.304 CmdLineExt.dll
04.10.2005 15:06 34.064 lhacm.acm
04.10.2005 03:39 3.799 jupdate-1.5.0_04-b05.log
04.10.2005 03:29 6.808 HWACCESS.SYS
04.10.2005 03:12 90.296 FNTCACHE.DAT
04.10.2005 02:53 0 h323log.txt
04.10.2005 02:02 25.065 wmpscheme.xml
04.10.2005 01:59 261 $winnt$.inf
04.10.2005 01:57 2.951 CONFIG.NT
04.10.2005 01:57 488 logonui.exe.manifest
04.10.2005 01:57 488 WindowsLogon.manifest
04.10.2005 01:56 749 ncpa.cpl.manifest
04.10.2005 01:56 749 sapi.cpl.manifest
04.10.2005 01:56 749 wuaucpl.cpl.manifest
04.10.2005 01:56 749 cdplayer.exe.manifest
04.10.2005 01:56 749 nwc.cpl.manifest
04.10.2005 01:55 21.740 emptyregdb.dat
26.09.2005 00:11 1.568.768 imagX7.dll
26.09.2005 00:11 476.320 imagXpr7.dll
26.09.2005 00:11 471.040 imagXRA7.dll
26.09.2005 00:11 155.648 NeroCheck.exe
26.09.2005 00:11 364.544 TwnLib4.dll
26.09.2005 00:11 262.144 imagXR7.dll
15.09.2005 06:32 307.200 atiiiexx.dll
15.09.2005 05:55 253.952 ATIDEMGR.dll
15.09.2005 05:14 6.680.576 atioglx1.dll
15.09.2005 04:13 4.837.376 atioglxx.dll
15.09.2005 03:58 241.664 ati2dvag.dll
15.09.2005 03:53 106.496 atipdlxx.dll
15.09.2005 03:53 73.728 Oemdspif.dll
15.09.2005 03:53 25.088 Ati2mdxx.exe
15.09.2005 03:53 39.936 ati2edxx.dll
15.09.2005 03:53 46.080 ati2evxx.dll
15.09.2005 03:52 376.832 ati2evxx.exe
15.09.2005 03:51 53.248 ATIDDC.DLL
15.09.2005 03:44 2.429.952 ati3duag.dll
15.09.2005 03:39 602.016 ativvaxx.dll
15.09.2005 03:27 147.456 atikvmag.dll
15.09.2005 03:04 17.408 atitvo32.dll
15.09.2005 02:59 233.472 ati2cqag.dll
14.09.2005 21:05 516.096 ati2sgag.exe
14.09.2005 20:17 462.848 px.dll
14.09.2005 20:17 53.248 pxhpinst.exe
14.09.2005 20:17 143.360 pxmas.dll
14.09.2005 20:17 286.720 pxwave.dll
14.09.2005 20:17 28.672 vxblock.dll
14.09.2005 20:17 319.488 pxdrv.dll
08.09.2005 20:36 2.006.368 MRT.exe
06.09.2005 21:04 104.373 atiicdxx.dat
31.08.2005 02:05 147.444 atmdeuxx.hlp
31.08.2005 02:05 24.557 atfdeuxx.hlp
31.08.2005 02:05 44.814 attdeuxx.hlp
16.08.2005 21:57


DAs war beim 2ten mal:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8B5-C084

Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

12.11.2005 18:26 69 NeroDigital.ini
12.11.2005 04:18 2.048 bootstat.dat
12.11.2005 04:17 264 system.ini
12.11.2005 04:17 517 win.ini
04.11.2005 20:01 261 game.ini
03.11.2005 18:11 729.088 iun6002.exe
02.11.2005 14:40 871 eReg.dat
01.11.2005 16:06 319 doom3.ini
30.10.2005 12:56 316.640 WMSysPr9.prx
30.10.2005 12:48 10 WININIT.INI
04.10.2005 05:01 99.970 UninstallFirefox.exe
04.10.2005 05:01 6.227 mozver.dat
04.10.2005 03:22 100.482 UninstallThunderbird.exe
04.10.2005 02:20 4.997 Ascd_tmp.ini
04.10.2005 02:18 0 nsreg.dat
04.10.2005 02:00 8.192 REGLOCS.OLD
04.10.2005 01:57 0 control.ini
04.10.2005 01:57 299.552 WMSysPrx.prx
04.10.2005 01:57 4.161 ODBCINST.INI
04.10.2005 01:56 749 WindowsShell.Manifest
04.10.2005 01:55 37 vbaddin.ini
04.10.2005 01:55 36 vb.ini
25.05.2005 23:44 10.752 hh.exe
22.08.2004 16:04 69.120 daemon.dll


Verzeichnis von C:\

13.11.2005 02:36 0 sys.txt
13.11.2005 02:35 3.113 system.txt
13.11.2005 02:34 136 systemtemp.txt
13.11.2005 02:33 92.062 system32.txt
12.11.2005 04:18 805.306.368 pagefile.sys
12.11.2005 04:17 194 boot.ini
04.10.2005 01:57 0 AUTOEXEC.BAT
04.10.2005 01:57 0 IO.SYS
04.10.2005 01:57 0 MSDOS.SYS
04.10.2005 01:57 0 CONFIG.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
13 Datei(en) 805.689.701 Bytes
0 Verzeichnis(se), 8.154.791.936 Bytes frei


Soweit danke.


Edit:

Hier noch mein HIjack Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:37:10, on 13.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\downloaded stuff\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\awvvv.dll
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [A8V SmartFan] C:\Programme\A8VSmartFan\A8VSmartFan.exe -a
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128390325781
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF3565A5-B61D-4D27-B3AB-6694E57B70F9}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#13 da ist noch was drauf...poste bitte das 1.Log von diesem Tool:
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awvvv]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\awvvv.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"="TuneUp Shredder Shell Context Menu Extension"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
ati2cqag.dll Thu 15 Sep 2005 2:59:20 A.... 233.472 228,00 K
ati2dvag.dll Thu 15 Sep 2005 3:58:48 A.... 241.664 236,00 K
ati2edxx.dll Thu 15 Sep 2005 3:53:24 A.... 39.936 39,00 K
ati2evxx.dll Thu 15 Sep 2005 3:53:14 A.... 46.080 45,00 K
ati3duag.dll Thu 15 Sep 2005 3:44:50 A.... 2.429.952 2,32 M
atiddc.dll Thu 15 Sep 2005 3:51:48 A.... 53.248 52,00 K
atidemgr.dll Thu 15 Sep 2005 5:55:12 A.... 253.952 248,00 K
atiiiexx.dll Thu 15 Sep 2005 6:32:28 A.... 307.200 300,00 K
atikvmag.dll Thu 15 Sep 2005 3:27:18 A.... 147.456 144,00 K
atioglx1.dll Thu 15 Sep 2005 5:14:50 A.... 6.680.576 6,37 M
atioglxx.dll Thu 15 Sep 2005 4:13:08 A.... 4.837.376 4,61 M
atipdlxx.dll Thu 15 Sep 2005 3:53:46 A.... 106.496 104,00 K
atitvo32.dll Thu 15 Sep 2005 3:04:28 A.... 17.408 17,00 K
ativvaxx.dll Thu 15 Sep 2005 3:39:22 A.... 602.016 587,91 K
awvvv.dll Sun 13 Nov 2005 0:26:16 ..SH. 544.788 532,02 K
bassmod.dll Fri 4 Nov 2005 0:29:14 A.... 15.360 15,00 K
cmdlin~1.dll Tue 4 Oct 2005 19:42:34 A.... 98.304 96,00 K
imagx7.dll Mon 26 Sep 2005 0:11:20 A.... 1.568.768 1,50 M
imagxpr7.dll Mon 26 Sep 2005 0:11:20 A.... 476.320 465,16 K
imagxr7.dll Mon 26 Sep 2005 0:11:20 A.... 262.144 256,00 K
imagxra7.dll Mon 26 Sep 2005 0:11:20 A.... 471.040 460,00 K
jkklm.dll Thu 10 Nov 2005 21:48:06 A.SH. 27.149 26,51 K
oemdspif.dll Thu 15 Sep 2005 3:53:36 A.... 73.728 72,00 K
px.dll Wed 14 Sep 2005 20:17:44 ..... 462.848 452,00 K
pxdrv.dll Wed 14 Sep 2005 20:17:44 ..... 319.488 312,00 K
pxmas.dll Wed 14 Sep 2005 20:17:44 ..... 143.360 140,00 K
pxwave.dll Wed 14 Sep 2005 20:17:44 ..... 286.720 280,00 K
twnlib4.dll Mon 26 Sep 2005 0:11:20 A.... 364.544 356,00 K
vxblock.dll Wed 14 Sep 2005 20:17:44 ..... 28.672 28,00 K

29 items found: 29 files (2 H/S), 0 directories.
Total of file sizes: 21.140.065 bytes 20,16 M
Locate .tmp files:

No matches found.


SO hoffe ich hab alles richtig gemacht!!
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8B5-C084

Verzeichnis von C:\WINDOWS\System32

13.11.2005 15:56 348.066 vvvwa.ini
13.11.2005 12:26 347.695 vvvwa.bak1
13.11.2005 00:26 544.788 awvvv.dll
10.11.2005 21:48 27.149 jkklm.dll
04.11.2005 20:01 <DIR> dllcache
04.10.2005 02:05 <DIR> Microsoft
4 Datei(en) 1.267.698 Bytes
2 Verzeichnis(se), 8.034.066.432 Bytes frei

#15 VundoFix.exe
http://virus-protect.org/artikel/tools/vundofix.html <---Info
http://www.atribune.org/downloads/VundoFix.exe <---laden

reinkopieren:

C:\WINDOWS\System32\awvvv.dll

# Enter -> F6 --> Enter
# dann wird erscheinen:

Please type in the second filepath as instructed by the forum staff Then Press Enter, Then F6, Then Enter Again to continue with the fix.

# Enter --> dann die F6 Taste --> Enter

reinkopieren:

C:\WINDOWS\System32\vvvwa.*

# Enter --> F6 --> Enter
# HijackThis wird sich oeffnen
# In HijackThis --> Haekchen setzen vor diese Eintraege --> FIX CHECKED:

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\awvvv.dll
O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll

# schliesse Hijackthis, druecke irgendeine Taste und der PC wird neustarten
# es wird einen"Blue Screen of Death" geben, das ist normal

Nach dem Neustart loesche: (mit der Killbox

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\System32\jkklm.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten

wende CleanUp an
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit