Bekomme PopUp nicht weg

#31

Zitat

Sabina postete
ueberpruefe, wie die exe jetzt heisst: (ich habe die jcclhjjz.exe verwendet)

dann:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\jcclhjjz.exe /a h > files.txt
notepad files.txt

- Speichern als: Findfile.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor öffnet sich-->poste den Text

Bekomme ein leeres Fenster, der findet nixhts. Die exe heißt aber immer noch jcclhjjz.exe

Zitat

Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:
echo ** This batch was originally written by OSC **
cd C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit


3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat
+
posten

************************************
**These are the hidden files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp

************************************
**These are the system files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp



Habe auch nochmal meine Temp.bat vom Desktop ausgeführt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\DOKUME~1\Thorsten\LOKALE~1\Temp

12.08.2005 14:04 382.140.416 NVE5C.tmp
12.08.2005 14:04 1.073.741.824 NVE5A.tmp
12.08.2005 14:04 1.073.741.824 NVE5B.tmp
12.08.2005 14:04 1.073.741.824 NVE59.tmp
12.08.2005 12:06 32.768 ~DF6161.tmp
12.08.2005 10:22 16.384 ~DF8F5B.tmp
12.08.2005 01:35 16.384 ~DF8F66.tmp
12.08.2005 00:20 16.384 ~DF222A.tmp
10.08.2005 10:17 242.523 jcclhjjz.exe
9 Datei(en) 3.603.690.331 Bytes
0 Verzeichnis(se), 13.034.565.632 Bytes frei

#32 Loesche die exe mit der Killbox, dann neustarten, wir werden sehen, ob sie beim Booten geloescht wird:
---------------------------------------------------------------------------------------------------------------
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

reinkopieren:

C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\jcclhjjz.exe

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want
to reboot? "----> klicke auf "yes"

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Egal was ich lösche, beim nnächsten Mal habe ich wieder eine andere EXE drin und das POP-Up kommt immer wieder

#34 ich moechte gern noch mal alle Dateien (ca. 40 Tage) von deinem System sehen
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Das Ergebnis ab 1.6.:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS\system32

20.08.2005 19:41 10.790 lckfldservicelog.txt
20.08.2005 14:40 1.158 wpa.dbl
05.08.2005 10:25 3.799 jupdate-1.5.0_04-b05.log
05.08.2005 03:31 1.457.496 MRT.exe
03.08.2005 10:33 520.456 LegitCheckControl.DLL
28.07.2005 14:52 91.856 S32EVNT1.DLL
24.07.2005 01:03 53.248 GEARSEC.EXE
24.07.2005 01:03 69.632 GEARASPI.DLL
20.07.2005 04:04 3.012.096 mshtml.dll
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 15:35 126.680 GCCollection.dll
12.07.2005 15:35 117.976 hashlib.dll
12.07.2005 15:35 95.448 gcUnCompress.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
04.07.2005 19:56 3.069 jupdate-1.5.0_02-b09.log
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 251.392 iepeers.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 152.064 cdfview.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 74.240 mscms.dll
29.06.2005 03:49 254.976 icm32.dll
15.06.2005 19:49 295.936 kerberos.dll
13.06.2005 22:34 203.328 FNTCACHE.DAT
11.06.2005 23:16 890 vsconfig.xml
11.06.2005 01:53 57.856 spoolsv.exe
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe

--------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\DOKUME~1\Thorsten\LOKALE~1\Temp

20.08.2005 19:42 279 WCESCOMM.LOG
20.08.2005 19:42 16.384 ~DF7A49.tmp
20.08.2005 19:42 1.236 jusched.log
20.08.2005 19:39 98 kb.log
20.08.2005 19:38 16.384 ~DF1D26.tmp
20.08.2005 19:30 16.384 ~DFA9A8.tmp
20.08.2005 16:10 0 px96F6.tmp
20.08.2005 14:46 242.523 rahxtxkc.exe
20.08.2005 14:46 242.523 ccjuwake.exe
20.08.2005 14:40 16.384 ~DFA325.tmp
13.08.2005 00:41 16.384 ~DFB140.tmp
13.08.2005 00:33 380 WcesView.log
12.08.2005 23:34 32.768 ~DF3679.tmp
12.08.2005 23:33 16.384 ~DF950B.tmp
12.08.2005 22:31 16.384 ~DFEADD.tmp
12.08.2005 12:06 32.768 ~DF6161.tmp
12.08.2005 10:22 16.384 ~DF8F5B.tmp
12.08.2005 01:35 16.384 ~DF8F66.tmp
12.08.2005 00:20 16.384 ~DF222A.tmp
19 Datei(en) 716.415 Bytes
0 Verzeichnis(se), 16.451.817.472 Bytes frei

------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS

20.08.2005 19:41 1.795.852 WindowsUpdate.log
20.08.2005 19:41 314 wiadebug.log
20.08.2005 19:41 50 wiaservc.log
20.08.2005 19:41 0 0.log
20.08.2005 19:41 2.048 bootstat.dat
20.08.2005 19:40 32.630 SchedLgU.Txt
13.08.2005 00:43 6.668 setupapi.log
13.08.2005 00:32 155 winamp.ini
12.08.2005 23:36 598 win.ini
12.08.2005 23:36 227 system.ini
12.08.2005 16:44 116 NeroDigital.ini
12.08.2005 11:35 236 fpuninstall.log
10.08.2005 18:25 462 BRWMARK.INI
10.08.2005 18:25 26 BRPP2KA.INI
20.07.2005 18:26 3.726 mozver.dat
14.07.2005 17:16 145.624 UNNeroVision.cfg
06.07.2005 17:12 2.973.696 UNNeroVision.exe
15.06.2005 20:36 40 opt_1430.ini

----------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\

20.08.2005 19:48 0 sys.txt
20.08.2005 19:48 4.918 system.txt
20.08.2005 19:47 1.175 systemtemp.txt
20.08.2005 19:46 103.415 system32.txt
20.08.2005 19:41 535.875.584 hiberfil.sys
20.08.2005 19:41 805.306.368 pagefile.sys
12.08.2005 23:36 211 boot.ini
12.08.2005 14:09 562 contents.txt
11.08.2005 19:21 839 systemtep.txt
10.08.2005 11:53 4 AVPCallback.log
08.08.2005 21:24 0 23990098.$$$
24.07.2005 10:40 916 debug.log

------------------------------------------------------------

#36 loesche mit der Killbox oder manuell:

C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\rahxtxkc.exe
C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\ccjuwake.exe
C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\px96F6.tmp

C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\
20.08.2005 14:40 16.384 ~DFA325.tmp

dann poste noch mal die Dateien, gehe aber weiter im Datum zurueck.
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Ich habe den kompletten TEMp-Ordner geleert, das Pop-Up aber sofort beim Öffnen vom Avant Browser wiederbekommen


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS\system32

21.08.2005 13:29 11.180 lckfldservicelog.txt
20.08.2005 14:40 1.158 wpa.dbl
05.08.2005 10:25 3.799 jupdate-1.5.0_04-b05.log
05.08.2005 03:31 1.457.496 MRT.exe
03.08.2005 10:33 520.456 LegitCheckControl.DLL
28.07.2005 14:52 91.856 S32EVNT1.DLL
24.07.2005 01:03 53.248 GEARSEC.EXE
24.07.2005 01:03 69.632 GEARASPI.DLL
20.07.2005 04:04 3.012.096 mshtml.dll
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 15:35 126.680 GCCollection.dll
12.07.2005 15:35 117.976 hashlib.dll
12.07.2005 15:35 95.448 gcUnCompress.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
04.07.2005 19:56 3.069 jupdate-1.5.0_02-b09.log
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 251.392 iepeers.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 152.064 cdfview.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 74.240 mscms.dll
29.06.2005 03:49 254.976 icm32.dll
15.06.2005 19:49 295.936 kerberos.dll
13.06.2005 22:34 203.328 FNTCACHE.DAT
11.06.2005 23:16 890 vsconfig.xml
11.06.2005 01:53 57.856 spoolsv.exe
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 546.304 hhctrl.ocx
26.05.2005 04:19 178.408 muweb.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 128.232 mucltui.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 128.280 wucltui.dll
17.05.2005 02:42 17.408 xpsp3res.dll
11.05.2005 04:30 78.336 telnet.exe
04.05.2005 14:45 2.890.240 msi.dll
01.05.2005 15:31 56 winxp32.sys

--------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\DOKUME~1\Thorsten\LOKALE~1\Temp

21.08.2005 13:29 279 WCESCOMM.LOG
21.08.2005 13:29 16.384 ~DFBA49.tmp
21.08.2005 13:29 206 jusched.log
21.08.2005 13:27 97 kb.log
21.08.2005 13:26 16.384 ~DF2BD6.tmp
20.08.2005 14:46 242.523 vebqljgi.exe
20.08.2005 14:46 242.523 tqsygzsu.exe
7 Datei(en) 518.396 Bytes
0 Verzeichnis(se), 16.321.613.824 Bytes frei

-------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS

21.08.2005 13:29 50 wiaservc.log
21.08.2005 13:29 1.815.606 WindowsUpdate.log
21.08.2005 13:29 315 wiadebug.log
21.08.2005 13:29 0 0.log
21.08.2005 13:29 2.048 bootstat.dat
21.08.2005 13:28 32.630 SchedLgU.Txt
13.08.2005 00:43 6.668 setupapi.log
13.08.2005 00:32 155 winamp.ini
12.08.2005 23:36 598 win.ini
12.08.2005 23:36 227 system.ini
12.08.2005 16:44 116 NeroDigital.ini
12.08.2005 11:35 236 fpuninstall.log
10.08.2005 18:25 462 BRWMARK.INI
10.08.2005 18:25 26 BRPP2KA.INI
20.07.2005 18:26 3.726 mozver.dat
14.07.2005 17:16 145.624 UNNeroVision.cfg
06.07.2005 17:12 2.973.696 UNNeroVision.exe
15.06.2005 20:36 40 opt_1430.ini
27.05.2005 01:22 10.752 hh.exe
24.04.2005 20:13 400 ODBC.INI
21.04.2005 17:30 2.510 Microsoft.MIF
21.04.2005 17:30 2.464 $_hpcst$.hpc
20.04.2005 18:00 0 nsreg.dat
19.04.2005 17:29 3.196 tm.ini
05.04.2005 23:28 41 tdf.dii
19.02.2005 01:24 777 stwin04.ini
19.02.2005 01:23 103 d2hnav.ini
08.02.2005 05:58 32 WININIT.INI
19.01.2005 13:46 4.346 ODBCINST.INI
20.12.2004 13:57 34 cdplayer.ini
04.12.2004 17:17 7.680 Thumbs.db
19.11.2004 01:36 112 WISO.INI
19.11.2004 01:33 231.936 fpuninst.exe
29.10.2004 16:41 316.640 WMSysPr9.prx
22.10.2004 10:38 0 PROSet.INI
04.10.2004 21:59 737.280 iun6002.exe
03.10.2004 18:48 0 distlib.ini
03.10.2004 14:28 8.192 REGULOCS.OLD
22.09.2004 16:59 0 PROTOCOL.INI
22.08.2004 17:04 69.120 daemon.dll
20.08.2004 05:24 61 smscfg.ini
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 153.600 REGEDIT.COM
04.08.2004 09:58 153.600 R.COM
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll
18.06.2004 14:40 33.280 muninst.exe

------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\

21.08.2005 13:33 0 sys.txt
21.08.2005 13:33 4.918 system.txt
21.08.2005 13:32 587 systemtemp.txt
21.08.2005 13:31 103.415 system32.txt
21.08.2005 13:29 535.875.584 hiberfil.sys
21.08.2005 13:29 805.306.368 pagefile.sys
12.08.2005 23:36 211 boot.ini
12.08.2005 14:09 562 contents.txt
11.08.2005 19:21 839 systemtep.txt
10.08.2005 11:53 4 AVPCallback.log
08.08.2005 21:24 0 23990098.$$$
24.07.2005 10:40 916 debug.log
22.09.2004 17:06 0 ASPI.LOG
21.09.2004 22:43 47.564 NTDETECT.COM
21.09.2004 22:43 251.184 ntldr
26.02.2004 03:00 0 IO.SYS
26.02.2004 03:00 0 MSDOS.SYS
26.02.2004 03:00 0 CONFIG.SYS
26.02.2004 03:00 0 AUTOEXEC.BAT
02.04.2003 14:00 4.952 bootfont.bin
20 Datei(en) 1.341.597.104 Bytes
0 Verzeichnis(se), 16.321.613.824 Bytes frei

#38 http://virus-protect.org/antivirus.html
scanne mit Antivirus im abgesicherten Modus und berichte (poste das Log vom Scan)

....aktiviere NICHT den Guard. (sonst wird das Sysyem langsam)
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Vielleicht kann Netzjunkie uns erzaehlen wie der Name dieser Popup ist
vielleicht "ilead.itrack.it"?
__________
MfG Argus

#40 Also in der Titelleiste des Pop-Up steht der Name des Pop-Ups
Gerade hatte ich zum Beispiel die 'Frankfurter Allgemeine'

#41 das Problem ist, dass sich die exe in den temp-Dateien immer wieder neuerstellen.
es muss also noch etwas geben, was die Dateien immer wieder neu nachlaedt.
Da ich kein Virenscanner bin kann ich also nur noch Viren/Spyware-Scanner empfehlen.
Wir werden einige durchprobieren, danach sind diese immer zu deinstallieren, dann kommt der naechste.
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Habe es laufen lassen
Bekomme aber immer noch das POP-Up beim starten vom Browser

C:\Programme\AVPersonal\INFECTED
windowcashdart.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Swizzor.CO
WURDE GELÖSCHT!
windowcashdart.VIR00
[FUND!] Ist das Trojanische Pferd TR/Dldr.Swizzor.CO
WURDE GELÖSCHT!


7824 Verzeichnisse wurden durchsucht
205694 Dateien wurden geprüft
91 Warnungen wurden ausgegeben
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Viren bzw. unerwünschte Programme wurden gefunden

#43 antivirus bitte deinstallieren..(falls du das Tool neu geladen hattest)

silentrunner (poste alles)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#44 "Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"OBJ HTM" = "C:\DOKUME~1\Thorsten\ANWEND~1\MESSSE~1\windowcashdart.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Hcontrol" = "C:\WINDOWS\ATK0100\Hcontrol.exe" [empty string]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"ZCfgSvc.exe" = "C:\WINDOWS\system32\ZCfgSvc.exe" ["Intel Corporation"]
"PRONoMgr.exe" = "C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" ["Intel(R) Corporation"]
"DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."]
"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia_\NOKIAP~1\TRAYAP~1.EXE" [empty string]
"Acrobat Assistant 7.0" = ""C:\Programme\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"creative five dead poke" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\keepmags.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"delus" = "C:\DOKUME~1\Thorsten\LOKALE~1\Temp\delus.exe" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
{D981B03A-9E94-D676-C584-1E1F9EDAD0E0}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\Thorsten\ANWEND~1\AXISBE~1\ClockOption.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia_\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia_\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia_\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 1.9.79\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 1.9.79\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 1.9.79\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 1.9.79\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office 2002\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office 2002\Office10\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! Sebring\DLLName = "C:\WINDOWS\system32\LgNotify.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
LockFolder\(Default) = "{4852341A-43E6-4994-B29B-E82904992884}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\FolderAccess\LckFldMenu.dll" ["Topdownloads Network"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Thorsten" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Thorsten\Startmenü\Programme\Autostart
"OpenOffice.org 1.9.79" -> shortcut to: "C:\Programme\OpenOffice.org 1.9.79\program\quickstart.exe" [null data]
"SpamPal" -> shortcut to: "C:\Programme\SpamPal\spampal.exe" ["www.spampal.org"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Acrobat - Schnellstart" -> shortcut to: "C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe" [null data]


Enabled Scheduled Tasks:
------------------------

"AE7357DE9184C886" -> launches: "c:\dokume~1\thorsten\anwend~1\messse~1\mp3upinfo.exe" [null data]
"Norton AntiVirus - Meinen Computer prüfen - Thorsten" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\ = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INetRepl.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTSvcCDA.EXE" ["Creative Technology Ltd"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"]
LckFldService, LckFldService, "C:\WINDOWS\system32\LckFldService.exe" [null data]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
RegSrvc, RegSrvc, "C:\WINDOWS\system32\RegSrvc.exe" ["Intel Corporation"]
ScsiAccess, ScsiAccess, "C:\Programme\ProShowGold\ScsiAccess.exe" [null data]
Spectrum24 Event Monitor, S24EventMonitor, "C:\WINDOWS\system32\S24EvMon.exe" ["Intel Corporation "]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 43 seconds, including 11 seconds for message boxes)

#45 Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Loeschen: (im abgesicherten modus)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram sign creative five\keepmags.exe
c:\dokume~1\thorsten\anwend~1\messse~1\mp3upinfo.exe
C:\DOKUME~1\Thorsten\ANWEND~1\AXISBE~1\ClockOption.exe"

scanne mit escan und poste alles:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit