Home » Spyware & Browser Hijacker Support Forum » computer have a risk... und HCLEAN.exe » Themenansicht
computer have a risk... und HCLEAN.exe |
||
|---|---|---|
| #0
| ||
|
23.08.2005, 09:35
Member
Beiträge: 14 |
||
 
|
|
|
|
23.08.2005, 10:22
Member
 Beiträge: 4730 |
#2
Hallo dekilla,
bitte anonymisiere nicht die Daten aus dem HJT-Log, sonst können wir nur begrenzt helfen. Bitte die vollständigen Daten posten. Anhand der gegebenen Daten kann ich Dir empfehlen: Fixe mit HJT ("scan" -> Häkchen setzen -> "fix checked") O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{8FEBC2BF-D0D5-4F5B-894F-3BA180A0B5B9}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA202BC4-232D-4534-9529-4693ED0057F3}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8 PC neustarten. Die HClean.exe wird zumindest nicht über den Autostart aktiviert. Dass Du sie nicht finden kannst, könnte möglicherweise daran liegen, dass versteckte Dateien und Systemdaieteien ausgeblendet werden. Ändere das über Explorer -> Extras -> Ordneroptionen -> Ansicht deaktiviere dort Geschützte Systemdateien ausblenden (empfohlen) Erweiterungen bei bekannten Dateitypen ausblenden aktiviere dort Alle Dateien anzeigen Möglicherweise kannst Du die Datei nun finden. Wenn nicht, nicht so schlimm, denn bitte ich Dich sowieso, einen Scan mit eScanCheck durchzuführen und uns das Ergebnis davon hier mitzuteilen (so, wie es auf der Seite beschrieben ist). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
23.08.2005, 10:46
Member
Themenstarter Beiträge: 14 |
#3
Danke erstmal für die Antwort.
versteckte Daten etc - ein klein wenig steig ich schon auch durch. ne die Datei ist unauffindbar. Nochmal das neue Log... auch wenn ich nicht glaube, dass meine lokale Proxy IP nicht wirklich was zur Sache tut. Logfile of HijackThis v1.99.1 Scan saved at 10:36:59, on 23.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\EBRR.EXE C:\Programme\HP Web JetAdmin\hpwebjetd.exe C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\oodag.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\PopMessenger\PopMessenger.exe C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\wincmd\Wincmd32.exe E:\Download\tools\Virus\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.151.121.5:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 194.151.121.77; 194.151.121.213; 127.0.0.1 O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [EMmonitor] C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [PopMessenger] C:\Programme\PopMessenger\PopMessenger.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O15 - Trusted Zone: www.meineBank.de O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EpsonNet WebManager Notification Service (EMWebMgr_NtfSvc) - Unknown owner - C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe O23 - Service: EpsonNet WebManager HTTP Server (ENWebMgr_Httpd) - Unknown owner - C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMSERVICE.exe O23 - Service: HP Web JetAdmin (HPWebJetAdmin) - Hewlett-Packard - C:\Programme\HP Web JetAdmin\hpwebjetd.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ontrack SystemSuite 2000-Task-Manager (mxserver) - Ontrack Data International - C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
|
|
|
|
|
|
23.08.2005, 10:51
Member
Beiträge: 4730 |
#4
Danke, ich wollte nur sichergehen, dass da alles legitim ist (insbes. Startseite und Trusted Zone).
Durch welche Shareware hast Du Dir das Problem zugezogen? Bitte jetzt noch eScan  __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
23.08.2005, 11:01
Member
Themenstarter Beiträge: 14 |
#5
Die genaue Software weis ich jetzt leider nicht mehr.
Ich habe letzte Woche ein Tool gesucht um einen COM Port übers interne Netzwerk umzuleiten. Hab dann auf meine Virenscanner vertraut. Und auch 2-3 DEMO Versionen getestet. 2 Tage später viel mir die Sch###e auf. Ich hab eigendlich schon reichlich mit escann gescannt und gelöscht... Will aber sicher sein alles erwischt zu haben. Ich lass den grad nochmal über mein gesamtes System rauschen. und poste dann gleich ....aber nicht das ganze log oder ? das sind über 100.000 Dateien ? |
|
|
|
|
|
|
23.08.2005, 11:06
Member
Beiträge: 4730 |
#6
Nein. Ich habe Dir ja einen Link genannt, in dem beschrieben wird, was ich benötige.
Da dort jedoch die Anleitung auf Grundlage der englischsprachigen Version erstellt wurde und manch einer eine deutschsprachige Version verwendet, kam es oftmals zu Problemen: Suche nach "infected" bzw. nach "infiziert" sowie nach "tagged" bzw. dem deutschsprachigen Pendant (ich weiß es jetzt gerade nicht im Kopf, muss mal eben nachschauen und aktualisiere dann das Posting). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
23.08.2005, 11:49
Member
Themenstarter Beiträge: 14 |
#7
der find nix mehr....
nur noch das mit dem ich nichts anfangen kann: Tue Aug 23 11:03:22 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Tue Aug 23 11:03:25 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINNT\Downloaded Program Files\ActiveSecurity.ocx". Action Taken: Keine Aktion vorgenommen. Tue Aug 23 11:48:22 2005 => Gescannte Dateien: 223128 Tue Aug 23 11:48:22 2005 => Gefundene Viren: 0 Tue Aug 23 11:48:22 2005 => Anzahl der desinfizierten Dateien: 0 Tue Aug 23 11:48:22 2005 => Umbenannte Dateien: 0 Tue Aug 23 11:48:22 2005 => Anzahl der gelöschten Dateien: 0 Tue Aug 23 11:48:22 2005 => Anzahl Fehler: 5 Tue Aug 23 11:48:22 2005 => Zeit vergangen: 00:54:32 Tue Aug 23 11:48:22 2005 => Virus Datenbank Datum: 2005/08/23 Tue Aug 23 11:48:22 2005 => Virus Datenbank Zähler: 145167 Tue Aug 23 11:48:22 2005 => Scan vollständig. |
|
|
|
|
|
|
23.08.2005, 12:02
Member
Beiträge: 4730 |
#8
Das sieht doch gut aus. Wie sieht es mit der hclean.exe aus? Immer noch vorhanden?
Wenn ja, führe folgende Schritte aus: Start -> Ausführen -> cmd Einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit Es öffnet sich Notepad mit einer Text-Datei. Daraus kopierst Du mir bitte alle Einträge der letzten 6 Tage (vor den jeweiligen Dateien befindet sich das Datum der letzten Änderung) hier rein. Dasselbe machst Du bitte auch bei den folgenden drei. cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
23.08.2005, 12:24
Member
Themenstarter Beiträge: 14 |
#9
.. dachte ich gestern auch schon und über
Nacht poppte die Meldung wieder hoch.... system32.txt: 23.08.2005 10:34 130 fwlog.txt 23.08.2005 10:33 34.296 OODBS.lor 21.08.2005 16:08 2.005.520 FNTCACHE.DAT 21.08.2005 14:02 16.384 Perflib_Perfdata_6bc.dat 19.08.2005 09:25 0 asfiles.txt 19.08.2005 09:22 2.550 Uninstall.ico 19.08.2005 09:22 1.406 Help.ico 19.08.2005 09:22 1.718 Open.ico 19.08.2005 09:22 1.406 AddQuit.ico 19.08.2005 09:22 5.350 IE.ico 19.08.2005 09:22 9.470 Desktop.ico 19.08.2005 09:22 1.718 Quick.ico 04.08.2005 18:54 1.457.496 MRT.exe 29.07.2005 21:07 73.728 asuninst.exe Systemptemp.txt (hab ich schon gelöscht) Verzeichnis von C:\DOKUME~1\xxx.WOR\LOKALE~1\Temp 23.08.2005 11:55 16.384 ~DF85EB.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 3.657.105.408 Bytes frei system.txt 23.08.2005 12:12 2.425 WINCMD.INI 23.08.2005 10:34 1.244 win.ini 23.08.2005 10:34 1.228.813 WindowsUpdate.log 23.08.2005 10:32 32.548 SchedLgU.Txt 23.08.2005 10:32 466.454 ShellIconCache 23.08.2005 08:21 6.400 balloon.wav 22.08.2005 16:47 209.603 wmsetup.log 22.08.2005 16:46 1.125 winamp.ini 22.08.2005 16:42 231 system.ini 21.08.2005 16:20 1.197 IE4 Error Log.txt 21.08.2005 16:08 1.987 spupdsvc.log 21.08.2005 16:04 61.214 KB896423.log 21.08.2005 16:04 173.355 iis5.log 21.08.2005 16:04 1.410 imsins.log 21.08.2005 16:04 90.580 comsetup.log 21.08.2005 16:04 57.293 ocgen.log 21.08.2005 16:04 4.395 ockodak.log 21.08.2005 16:04 32.974 updspapi.log 21.08.2005 16:04 59.782 KB899587.log 21.08.2005 16:04 1.410 imsins.BAK 21.08.2005 16:04 58.923 KB893756.log 21.08.2005 16:04 58.177 KB899588.log 21.08.2005 16:04 50.040 KB896727-IE6SP1-20050719.165959.log 21.08.2005 16:03 55.383 KB896358.log 21.08.2005 16:03 71.938 UpdateRollupPack.log 21.08.2005 16:03 2.058 updcustom.dll.log 21.08.2005 16:02 16.565 KB901214.log 21.08.2005 16:02 16.719 KB890046.log 21.08.2005 16:02 15.305 KB896422.log 21.08.2005 16:02 15.584 KB894320.log 21.08.2005 16:02 5.698 KB885492.log 21.08.2005 16:02 15.537 dahotfix.log 21.08.2005 16:02 2.148 vminst.log 21.08.2005 16:02 715.100 setupapi.log 21.08.2005 16:01 4.037 Q828026.log 21.08.2005 16:01 3.612 KB329115.log 21.08.2005 14:07 31.728 ntbtlog.txt 21.08.2005 12:51 6.113 KB893803v2.log 21.08.2005 12:51 5.476 KB842773.log 21.08.2005 12:51 111.709 setupact.log 19.08.2005 19:53 374 capture.ini 19.08.2005 09:38 679 TSC.ini 19.08.2005 09:38 4 RM_RESULT.DAT 19.08.2005 09:37 170 GetServer.ini 19.08.2005 09:36 1.142.784 TMUPDATE.DLL 19.08.2005 09:36 69.689 UNZIP.DLL 19.08.2005 09:36 208.896 PATCH.EXE 19.08.2005 09:31 2.248.719 tsc.ptn 19.08.2005 09:31 170.053 tsc.exe 19.08.2005 09:31 71.749 hcextoutput.dll 19.08.2005 09:31 1.044.560 vsapi32.dll 19.08.2005 09:31 43.008 BPMNT.dll 19.08.2005 09:31 15.636.721 VPTNFILE.791 19.08.2005 09:31 15.636.721 LPT$VPN.791 19.08.2005 09:27 32 pavsig.txt 18.08.2005 14:50 4.272 Active Setup Log.txt 18.08.2005 14:20 119 IEPatchUninstall.log 16.08.2005 11:38 71.120 Windows Update.log 11.08.2005 08:33 1.292 BRPCFX.INI 11.08.2005 08:33 2.146 BRPCFAX.LOG 08.07.2005 13:17 889 wcx_ftp.ini 08.06.2005 15:46 54.156 QTFont.qfn 01.06.2005 17:41 35 Ulead32.INI 06.05.2005 21:32 7.723 OEWABLog.txt 04.05.2005 13:30 1.091 WDesign.INI hier sind viele bunte smarties.... den Balloon.wav hatte ich schon gelöscht  sys.txt Verzeichnis von C:\ 23.08.2005 12:25 0 sys.txt 23.08.2005 12:25 5 AVPCallback.log 23.08.2005 12:19 9.652 system.txt 23.08.2005 12:16 307 systemtemp.txt 23.08.2005 12:08 102.642 system32.txt 23.08.2005 11:08 0 23990098.$$$ 21.08.2005 12:50 11 AuResult.ini 05.01.2005 13:41 13.990 bootex.log 13.10.2004 16:42 24.584 cvpage.btx Die hclean.exe meldung kommt grad nicht mehr! der "Your Computer..." Boubble auch nicht... soweit war ich wie gesagt aber schon mal. und "overnight" hat sich das wieder eingenistet. Nachts läuft ein Backup (Windows Eigen per "Geplante Tasks") Ich konnte die hclean.exe Datei aber bisher nirgends finden. ... your turn! Dieser Beitrag wurde am 23.08.2005 um 12:31 Uhr von dekilla editiert.
|
|
|
|
|
|
|
23.08.2005, 12:35
Ehrenmitglied
 Beiträge: 29434 |
#10
Hallo@dekilla
FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread silentrunners http://virus-protect.org/silentrunner.html und poste alles, was angezeigt wird. WinPFind http://www.bleepingcomputer.com/files/winpfind.php Anleitung: http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.08.2005, 13:15
Member
Themenstarter Beiträge: 14 |
#11
FindT
nichts silentrunners "Silent Runners.vbs", revision 40, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "PopMessenger" = "C:\Programme\PopMessenger\PopMessenger.exe" ["LeadMind Development"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "EMmonitor" = "C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe" [null data] "NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "hclean32.exe" = "C:\WINNT\system32\hclean32.exe" [file not found] "dmkzy.exe" = "C:\WINNT\system32\dmkzy.exe" [file not found] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.0\program\shlxthdl.dll" ["Sun Microsystems, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] WinPFind ... überfordert mich ich kopier alles... »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195 Internet Explorer Version: 6.0.2800.1106 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... PECompact2 19.08.2005 09:31:46 15636721 C:\WINNT\LPT$VPN.791 qoologic 19.08.2005 09:31:46 15636721 C:\WINNT\LPT$VPN.791 SAHAgent 19.08.2005 09:31:46 15636721 C:\WINNT\LPT$VPN.791 UPX! 19.08.2005 09:31:46 170053 C:\WINNT\tsc.exe PECompact2 19.08.2005 09:31:46 15636721 C:\WINNT\VPTNFILE.791 qoologic 19.08.2005 09:31:46 15636721 C:\WINNT\VPTNFILE.791 SAHAgent 19.08.2005 09:31:46 15636721 C:\WINNT\VPTNFILE.791 UPX! 19.08.2005 09:31:46 1044560 C:\WINNT\vsapi32.dll aspack 19.08.2005 09:31:46 1044560 C:\WINNT\vsapi32.dll Checking %System% folder... PTech 12.07.2005 18:04:22 520456 C:\WINNT\SYSTEM32\LegitCheckControl.dll PECompact2 04.08.2005 18:54:06 1457496 C:\WINNT\SYSTEM32\MRT.exe aspack 04.08.2005 18:54:06 1457496 C:\WINNT\SYSTEM32\MRT.exe Umonitor 03.06.2005 00:44:46 551696 C:\WINNT\SYSTEM32\RASDLG.DLL UPX! 04.03.2004 10:03:42 22782 C:\WINNT\SYSTEM32\UninstXviDDec.exe winsync 08.05.2001 14:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 23.08.2005 10:32:38 H 466454 C:\WINNT\ShellIconCache 23.08.2005 10:34:04 S 64 C:\WINNT\CSC\00000001 21.08.2005 14:15:00 S 64 C:\WINNT\CSC\00000002 21.08.2005 13:57:40 S 64 C:\WINNT\CSC\csc1.tmp 21.08.2005 12:44:56 H 0 C:\WINNT\inf\oem22.inf 21.08.2005 16:02:16 H 0 C:\WINNT\inf\oem23.inf 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\018b07d5ee37b8072d46e46373dfe9fe\BIT41.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\03e0106eb833d479bd9429aab17811ef\BIT2F.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\05f0b59bc64bf225aa3f3f0a503d975d\BIT2A.tmp 21.08.2005 15:49:14 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\16315ce42d9f0d4cfb9495636832862e\BIT21.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\2c34d1eb5a89165a753a17b26a6cae34\BIT31.tmp 21.08.2005 15:49:06 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\2c6affae7450f72478cff69c017bbd11\BIT1E.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\303cfc629507cb4ec82cf9a8e394cd6d\BIT37.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\31fd82e3029c5979c6aa753d1afece5e\BIT2E.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\4540dc8337e0f34b25014efc6806ec10\BIT35.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\46f77e312236770ae74d70e11384e149\BIT27.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\483b14dfd4304c14bae99ca9db08dab8\BIT33.tmp 21.08.2005 15:49:12 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\49c87bbbf032a5f30e664ae150bd5a95\BIT20.tmp 21.08.2005 12:48:30 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\50e23956360a5156eeda2de462d20da0\BIT40.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\5bde72e7a6efe466aa8b46849240a23a\BIT24.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\5d987ce2479fcaefc090f93de1021e99\BIT46.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\64aebba8a2c9d754721e3bb198aefd6c\BIT42.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\68d98510652cbaf94d60d6547b7f8556\BIT44.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\6a7e2535cb24882c4e243bc060954d8a\BIT4A.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\6bf33ddf9b5c621be55c3536ae3f02aa\BIT3D.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\6dd606316c8f1b7c80a51067f871035c\BIT48.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\815ed2c790803ec1e46263ed7d6aa5fe\BIT47.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\8e11d01e914e4c22d5fca9b6b56be72d\BIT3E.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\8e73682f9ee8655a103399d3fa291b6e\BIT22.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\926b910e1ac4563879145a18cbaf94cd\BIT2B.tmp 21.08.2005 14:37:10 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\9b7005e83b270650c48061b401c7f29e\BIT41.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\9d6de3bc29865f86711701e377a368d5\BIT43.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\a37493d72dd23be33800f0f1d75bfbaa\BIT25.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\afec821891f3e97e283356d3cfb3919f\BIT45.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\b2324db47974f25005b64e80677989bb\BIT3A.tmp 21.08.2005 12:45:26 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\b5910f258201637467930c961d22a83d\BIT26.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\bea844e3be3f8fb8a51e1a7eac6fc9cf\BIT4B.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\c1b355147045e312cfb0a97c92dd6b5c\BIT49.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\c2ed245587861c73d8f6fef53eed1e46\BIT34.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\c4d9b1b0da780d0b11098517a7341bd2\BIT32.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\c6bdd8ecc84e8a33acd8d97c909c609e\BIT36.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\d1d49f747a01257555e3f215427d5a4b\BIT39.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\d2e308c014c9c4bafc9debcba4e3b52a\BIT30.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\d8e39fe4560867c34b68d3e4464764a5\BIT4C.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\da8bf7f25884bb4a0235122a3680bcf8\BIT3B.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\dc40d7e7567f88a03e942766c5c645b2\BIT29.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\de8846dae0c8959ea0c3b96e4b5a076c\BIT3F.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\e156900bfd7e5268371546d0b1d65c2a\BIT23.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\e20dc80affd7b3405dbff9b1009395bf\BIT4D.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\ed89d1d8b51fc84555385e389591c76b\BIT38.tmp 21.08.2005 15:49:12 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\f12d18180b4fa96070547b3bffe35e81\BIT1F.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\f33598965841b9a3485c929d14e1b477\BIT2D.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\f9d712cf3366f700d2cec5bc4a0b527c\BIT3C.tmp 21.08.2005 15:49:16 H 0 C:\WINNT\SoftwareDistribution\Download\S-1-5-18\fa5ebdb8aae3b2b9ab01f70deff338ad\BIT28.tmp 23.08.2005 10:34:46 H 1024 C:\WINNT\system32\config\default.LOG 23.08.2005 10:34:10 H 1024 C:\WINNT\system32\config\SAM.LOG 23.08.2005 10:34:46 H 1024 C:\WINNT\system32\config\SECURITY.LOG 23.08.2005 13:12:16 H 1024 C:\WINNT\system32\config\software.LOG 23.08.2005 10:34:00 H 6 C:\WINNT\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 08.05.2001 14:00:00 68880 C:\WINNT\SYSTEM32\access.cpl Microsoft Corporation 19.06.2003 21:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl Microsoft Corporation 19.06.2003 21:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL 01.10.1999 11:32:16 87552 C:\WINNT\SYSTEM32\Empanel.cpl Microsoft Corporation 08.05.2001 14:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl Microsoft Corporation 29.08.2002 10:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl Microsoft Corporation 08.05.2001 14:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl Microsoft Corporation 08.05.2001 14:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl Microsoft Corporation 08.05.2001 14:00:00 61712 C:\WINNT\SYSTEM32\joy.cpl Microsoft Corporation 08.05.2001 14:00:00 122640 C:\WINNT\SYSTEM32\main.cpl AvantGo, Inc. 25.08.2001 03:18:28 69632 C:\WINNT\SYSTEM32\mbllnk.cpl Microsoft Corporation 08.05.2001 14:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl Ontrack Data International 10.02.2004 18:09:48 32768 C:\WINNT\SYSTEM32\mxctlpnl.cpl Microsoft Corporation 08.05.2001 14:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl NVIDIA Corporation 17.11.2003 11:33:00 73728 C:\WINNT\SYSTEM32\nvtuicpl.cpl Microsoft Corporation 08.05.2001 14:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl Microsoft Corporation 19.06.2003 21:05:04 41232 C:\WINNT\SYSTEM32\odbccp32.cpl Microsoft Corporation 19.06.2003 21:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl Apple Computer, Inc. 30.09.2004 18:03:44 324608 C:\WINNT\SYSTEM32\QuickTime.cpl NVIDIA Corporation 05.12.2002 06:22:20 R 73728 C:\WINNT\SYSTEM32\sscpl.cpl Microsoft Corporation 19.06.2003 21:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl Microsoft Corporation 19.06.2003 21:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL Microsoft Corporation 08.05.2001 14:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl Microsoft Corporation 08.05.2001 14:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl Microsoft Corporation 29.08.2002 10:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 03.06.2005 00:44:58 66832 C:\WINNT\SYSTEM32\dllcache\msmq.cpl IBM Corporation 07.10.1999 02:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl Microsoft Corporation 08.05.2001 14:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 01.10.2004 09:52:58 811 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk 16.02.2005 15:17:40 629 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check.lnk 01.10.2004 09:53:00 1556 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Tevion Scanner Finder.lnk 01.10.2004 09:53:00 592 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZoneAlarm.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... 02.03.2005 11:20:52 HS 0 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dip.ini Checking files in %USERPROFILE%\Startup folder... Checking files in %USERPROFILE%\Application Data folder... 17.02.2004 13:40:06 77 C:\Dokumente und Einstellungen\Guido.WORKSTATION3\Anwendungsdaten\sversion.ini 23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Guido.WORKSTATION3\Anwendungsdaten\wo.tmp »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Adobe.Acrobat.ContextMenu {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Fix-It Menu {A50302A0-8E15-11d2-887B-006008C1C087} = C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Fix-It Menu {A50302A0-8E15-11d2-887B-006008C1C087} = C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Fix-It Menu {A50302A0-8E15-11d2-887B-006008C1C087} = C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = C:\WINNT\System32\docprop2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984} = %SystemRoot%\system32\faxshell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1} = C:\WINNT\System32\docprop2.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910} AcroIEToolbarHelper Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{182EC0BE-5110-49C8-A062-BEB1D02A220B} Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINNT\System32\msdxm.ocx {47833539-D0C5-4125-9FA8-0819E2EAAC93} = Adobe PDF : C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\system32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] EMmonitor C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe NvCplDaemon RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup nForce Tray Options sstray.exe /r AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min Synchronization Manager mobsync.exe /logon Synchronization Manager mobsync.exe /logon Synchronization Manager mobsync.exe /logon [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] internat.exe internat.exe PopMessenger C:\Programme\PopMessenger\PopMessenger.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 91 CDRAutoRun 0 NoSaveSettings NoDrives NoCDBurning 0 NoBandCustomize 1 ClearRecentDocsOnExit 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINNT\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif = wzcdlg.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.3.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 23.08.2005 13:15:36 |
|
|
|
|
|
|
23.08.2005, 14:33
Ehrenmitglied
Beiträge: 29434 |
#12
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Dokumente und Einstellungen\Guido.WORKSTATION3\Anwendungsdaten\wo.tmp C:\WINNT\VPTNFILE.791 C:\WINNT\LPT$VPN.791 C:\WINNT\system32\hclean32.exe C:\WINNT\system32\dmkzy.exe PC neustarten silentrunners--> noch einmal -->bitte komplett abkopieren, nicht nur die Haelfte.....http://virus-protect.org/silentrunner.html und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.08.2005, 14:49
Member
Themenstarter Beiträge: 14 |
#13
Hab alles in Killbox eingetragen und löschen lassen...
Kommt aber keine Meldung ob er überhaupt beim Systemstart was gemacht hat... C:\WINNT\system32\hclean32.exe C:\WINNT\system32\dmkzy.exe waren nicht da... hab sie aber brav eingetragen... auch keine Ahnung ob Sie jetzt weg sind, weil für mich auch schon vorher nicht sichtbar... ##.791 sind wech... Silentrunners (log jetzt sogar bis zum Ende :/ ) "Silent Runners.vbs", revision 40, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "PopMessenger" = "C:\Programme\PopMessenger\PopMessenger.exe" ["LeadMind Development"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "EMmonitor" = "C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe" [null data] "NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "hclean32.exe" = "C:\WINNT\system32\hclean32.exe" [file not found] "dmkzy.exe" = "C:\WINNT\system32\dmkzy.exe" [file not found] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.0\program\shlxthdl.dll" ["Sun Microsystems, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csbnc.exe" [null data] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], ["O&O Software GmbH"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoBandCustomize"=dword:00000001 [disables toolbar status changes in Internet Explorer|View|Toolbars] {User Configuration|Administrative Templates|Windows Components| Internet Explorer|Toolbars|Disable customizing browser toolbars} Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Guido" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "EPSON Status Monitor 3 Environment Check" -> shortcut to: "C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe" ["SEIKO EPSON CORPORATION"] "Tevion Scanner Finder" -> shortcut to: "C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe" [empty string] "ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "Backup Batch" -> launches: "C:\Programme\aaa Autobackup Batch\copy.bat" [null data] "sicherung NEU" -> launches: "C:\WINNT\system32\NTBACKUP.EXE backup "@C:\Dokumente und Einstellungen\Guido.WORKSTATION3\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows NT\NTBackup\data\sicherung NEU.bks" /n "Medium am 26.05.2005 um 16:40 erstellt" /d "Satz am 26.05.2005 um 16:41 erstellt" /v:no /r:no /rs:no /hc:off /m normal /j "sicherung NEU" /l:s /f "Z:\Workstation3.bkf"" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 14 - 15 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {182EC0BE-5110-49C8-A062-BEB1D02A220B}\ = "Adobe PDF" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] Dormant Explorer Bars in "View, Explorer Bar" menu HKLM\Software\Classes\CLSID\{1604DF85-4479-D86D-2AB8-18BA76493190}\ = "Adobe PDF" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] HOSTS file ---------- C:\WINNT\System32\drivers\etc\HOSTS maps: 1 domain name to an IP address, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]} EpsonNet WebManager Notification Service, EMWebMgr_NtfSvc, ""C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe"" [null data] HP Web JetAdmin, HPWebJetAdmin, ""C:\Programme\HP Web JetAdmin\hpwebjetd.exe"" ["Hewlett-Packard"] NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINNT\system32\oodag.exe" ["O&O Software GmbH"] Ontrack SystemSuite 2000-Task-Manager, mxserver, "C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe" ["Ontrack Data International"] TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 274 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 10 seconds. ---------- (total run time: 317 seconds) |
|
|
|
|
|
|
23.08.2005, 14:56
Ehrenmitglied
Beiträge: 29434 |
#14
Gehe in die registry
Start-->Ausfuehren-->regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run loeschen: "hclean32.exe" = "C:\WINNT\system32\hclean32.exe" "dmkzy.exe" = "C:\WINNT\system32\dmkzy.exe" ------------------------------------------------------------------------------------ Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- "System"="" Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten loeschen:-->mit der Killbox C:\WINDOWS\SYSTEM32\csbnc.exe ----------------------------------------------------------------------------------- dann noch mal den Silentrunner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.08.2005, 15:16
Member
Themenstarter Beiträge: 14 |
#15
loeschen:
"hclean32.exe" = "C:\WINNT\system32\hclean32.exe" "dmkzy.exe" = "C:\WINNT\system32\dmkzy.exe" HKLM = HKEY_LOCAL_MACHINE ???? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Find ich nichts von hclean32.exe, dmky.exe ===?=== |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
bin schot seit 5 Tagen am ausrasten...
Habe mir durch irgendeine "Shareware" die Seuche eingefahren.
Folgendes: Ich bekomme vom Antivir Guard die Hclean.exe als
verseucht angezeigt, in winnt/system32/
Dort und nirgendwo anders kann ich diese Datei aber finden.
Dann kommt noch das "computer Risk ..." dingens
ab und zu.
Kann mir mal jemand auf die Sprünge helfen.
Log:
Logfile of HijackThis v1.99.1
Scan saved at 09:29:10, on 23.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\EBRR.EXE
C:\Programme\HP Web JetAdmin\hpwebjetd.exe
C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\PopMessenger\PopMessenger.exe
C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\Download\tools\Virus\HJT\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxx.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.xxx.xxx.5:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 194.xxx.xxx.77; 194.xxx.xxx.213; 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [EMmonitor] C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [PopMessenger] C:\Programme\PopMessenger\PopMessenger.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe
O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O15 - Trusted Zone: www.xxxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FEBC2BF-D0D5-4F5B-894F-3BA180A0B5B9}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA202BC4-232D-4534-9529-4693ED0057F3}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{037A323E-B67C-40C5-9389-04CD230DB12B}: NameServer = 69.50.176.158,85.255.112.8
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EpsonNet WebManager Notification Service (EMWebMgr_NtfSvc) - Unknown owner - C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe
O23 - Service: EpsonNet WebManager HTTP Server (ENWebMgr_Httpd) - Unknown owner - C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMSERVICE.exe
O23 - Service: HP Web JetAdmin (HPWebJetAdmin) - Hewlett-Packard - C:\Programme\HP Web JetAdmin\hpwebjetd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ontrack SystemSuite 2000-Task-Manager (mxserver) - Ontrack Data International - C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe