Spyware/Trojaner wie bekomme ich ihn wieder weg?

#1 Hallo,

ich habe mir jetzt zum zweiten mal die Spyware PS Guard eingefangen, die ich mit mit AntiVir, Spybot und manuellen löschen wieder entfernen konnte.

Jetzt ist aber noch etwas übrig. Ich habe einen roten Desktop Hintergrund. Dort blinkt in einem schwarzen Fenster immer: Danger Spyware. Dazu steht dort noch RazeSpyware.

Ich habe mal einen HijackThis Test gemacht und die Log Datei beigefügt. Ich hoffe ihr habt einen Tipp für mich.

Danke und Gruß

Snippy


Logfile of HijackThis v1.99.1
Scan saved at 00:17:47, on 24.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Elal\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PcSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs (file missing)
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{162508A1-E6F7-4FB9-A5C1-9512C5720380}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{162508A1-E6F7-4FB9-A5C1-9512C5720380}: NameServer = 217.237.151.225 217.237.150.225
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

#2 Hallo@Snippy

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

WinPfind -->bitte abarbeiten und ALLES posten
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

Smitfiles:


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN!


Gruß

Snippy

#4 WinPfind -->bitte abarbeiten und ALLES posten
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 09.09.2001 16:32:32 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PECompact2 04.08.2005 18:54:06 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2005 18:54:06 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 00:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 00:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 09.09.2001 16:35:58 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 22:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
24.08.2005 00:48:48 S 2048 C:\WINDOWS\bootstat.dat
23.08.2005 23:04:14 HS 14336 C:\WINDOWS\Thumbs.db
03.07.2005 22:19:00 HS 6144 C:\WINDOWS\$NtServicePackUninstall$\Thumbs.db
25.06.2005 22:24:06 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
05.08.2005 12:17:06 HS 7680 C:\WINDOWS\Help\Thumbs.db
25.06.2005 22:24:04 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini
25.06.2005 22:51:08 RHS 333502 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_5.cab
10.08.2005 12:46:06 HS 5120 C:\WINDOWS\ShellNew\Thumbs.db
20.08.2005 19:22:32 HS 16896 C:\WINDOWS\system32\Thumbs.db
29.06.2005 04:12:46 S 11845 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB901214.cat
24.08.2005 00:49:36 H 1024 C:\WINDOWS\system32\config\default.LOG
24.08.2005 00:48:50 H 1024 C:\WINDOWS\system32\config\SAM.LOG
24.08.2005 00:49:36 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
24.08.2005 00:50:00 H 1024 C:\WINDOWS\system32\config\software.LOG
24.08.2005 00:51:00 H 1024 C:\WINDOWS\system32\config\system.LOG
13.08.2005 21:05:16 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
25.06.2005 22:51:10 S 558 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\E6024EAC88E6B6165D49FE3C95ADD735
25.06.2005 22:51:10 S 144 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\E6024EAC88E6B6165D49FE3C95ADD735
03.09.2005 14:07:46 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\e6ea57f4-e786-42c2-9691-17f14a361110
24.08.2005 00:48:50 H 6 C:\WINDOWS\Tasks\SA.DAT
23.07.2005 17:11:34 HS 7168 C:\WINDOWS\Web\Thumbs.db

Checking for CPL files...
Microsoft Corporation 04.08.2004 00:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 00:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
21.06.1999 05:10:00 185344 C:\WINDOWS\SYSTEM32\BDEADMIN.CPL
Microsoft Corporation 04.08.2004 00:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 00:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 00:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 00:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 09.09.2001 16:33:40 189440 C:\WINDOWS\SYSTEM32\main.cpl
AvantGo, Inc. 06.12.2004 14:07:08 69632 C:\WINDOWS\SYSTEM32\mbllnk.cpl
Microsoft Corporation 04.08.2004 00:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 09.09.2001 16:34:20 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 00:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 29.10.2004 16:50:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 09.09.2001 16:34:40 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 00:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 00:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
SiSoftware 29.01.2005 18:07:40 53248 C:\WINDOWS\SYSTEM32\SanCpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 09.09.2001 16:35:40 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 00:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 00:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 00:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 09.09.2001 16:33:40 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 09.09.2001 16:34:20 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 09.09.2001 16:34:40 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 09.09.2001 16:35:40 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
01.04.2005 21:04:52 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
01.04.2005 21:48:02 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
01.04.2005 23:37:16 1187 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
01.04.2005 21:04:52 HS 84 C:\Dokumente und Einstellungen\Elal\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
01.04.2005 21:48:02 HS 62 C:\Dokumente und Einstellungen\Elal\Anwendungsdaten\desktop.ini
17.07.2005 21:23:04 24584 C:\Dokumente und Einstellungen\Elal\Anwendungsdaten\GDIPFONTCACHEV1.DAT
04.04.2005 20:09:02 0 C:\Dokumente und Einstellungen\Elal\Anwendungsdaten\sversion.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Adobe.Acrobat.ContextMenu
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = D:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
=
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
=

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
CLSID = {0000031A-0000-0000-C000-000000000046} :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{711E941A-59B6-45E0-8F3B-3DA9738242D2}
ButtonText = Artikel überwachen : C:\Programme\etope\global\vbs\sendtowatch.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
zBrowser Launcher D:\Programme\Logitech\iTouch\iTouch.exe
nwiz nwiz.exe /install
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
Logitech Utility Logi_MwX.Exe
HP Software Update "D:\Programme\HP\HP Software Update\HPWuSchd2.exe"
HP Component Manager "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
ACD mPower Tools
DataLayer C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
PCSuiteTrayApplication D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]


Gruß

Snippy

#6 silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 "Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"PcSync" = "D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"zBrowser Launcher" = "D:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"HP Software Update" = ""D:\Programme\HP\HP Software Update\HPWuSchd2.exe"" ["Hewlett-Packard Company"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ACD mPower Tools" = (value not set)
"DataLayer" = "C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" ["Nokia Mobile Phones Ltd."]
"PCSuiteTrayApplication" = "D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray" ["Nokia"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"Flag" = 132

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\FREEFI~1.SCR" (Free Fish Screensaver.scr) [null data]


Enabled Scheduled Tasks:
------------------------

"PS_TASK_neu_PSSEQ_0" -> launches: "D:\Programme\phonostar\ps_radio.exe psradio://|ChannelId|3745|1|0" ["phonostar"]
"PS_TASK_neu_PSSEQ_1" -> launches: "D:\Programme\phonostar\ps_radio.exe psradio://|REC_START|neu|1|0" ["phonostar"]
"PS_TASK_neu_PSSEQ_2" -> launches: "D:\Programme\phonostar\ps_radio.exe psradio://|PLAY_STOP|1|0" ["phonostar"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{711E941A-59B6-45E0-8F3B-3DA9738242D2}\
"ButtonText" = "Artikel überwachen"
"MenuText" = "Artikel überwachen"
"Exec" = "C:\Programme\etope\global\vbs\sendtowatch.vbs" [file not found]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""D:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 21 seconds, including 6 seconds for message boxes)



Danke und Gruß

Snippy

#8 ich weiss schon ungefaehr, was los ist...ich brauche nur noch:

http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

Sabina postete
http://virus-protect.org/datfindbat.html

Soll ich damit noch etwas machen?

Gute n8.

Snippy

#10 ja, alles abarbeiten
__________
MfG Sabina

rund um die PC-Sicherheit

#11 24.08.2005 01:02 17.145 nvapps.xml
23.08.2005 22:12 160 zlokdfs9.leo
23.08.2005 22:10 55.000 ztoolb009.dll
23.08.2005 22:10 61 birdihuy.dll
23.08.2005 22:10 28.672 birdihuy32.dll
20.08.2005 19:22 16.896 Thumbs.db
13.08.2005 15:12 4.286 ptainfo2.ico
13.08.2005 15:12 4.286 ptainfo1.ico
08.08.2005 14:58 308.222 perfh009.dat
08.08.2005 14:58 313.310 perfh007.dat
08.08.2005 14:58 38.604 perfc009.dat
08.08.2005 14:58 46.690 perfc007.dat
08.08.2005 14:58 706.566 PerfStringBackup.INI
08.08.2005 14:56 269.392 FNTCACHE.DAT
05.08.2005 21:41 512.000 germanwings.scr
04.08.2005 23:04 23.832 _DSC0007%20(2)[1].jpg
04.08.2005 18:54 1.457.496 MRT.exe
03.08.2005 12:13 2.256.328 Free Fish Screensaver.scr
03.08.2005 12:01 2.472 Free Fish Screensaver.html
24.07.2005 13:27 2.262 wpa.dbl
30.06.2005 00:17 160 $$$_.log
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll





Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 2C70-2EC2

Verzeichnis von C:\DOKUME~1\Elal\LOKALE~1\Temp

24.08.2005 01:32 238 pi.sys
24.08.2005 01:32 512 ~DF66CB.tmp
24.08.2005 01:32 512 ~DF63F3.tmp
24.08.2005 01:02 206 WCESCOMM.LOG
24.08.2005 00:56 256 WcesView.log
5 Datei(en) 1.724 Bytes
0 Verzeichnis(se), 6.948.843.520 Bytes frei



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 2C70-2EC2

Verzeichnis von C:\WINDOWS

24.08.2005 01:08 449.747 WindowsUpdate.log
24.08.2005 01:03 51 iTouch.ini
24.08.2005 01:02 50 wiaservc.log
24.08.2005 01:02 236 wiadebug.log
24.08.2005 01:02 0 0.log
24.08.2005 01:02 2.048 bootstat.dat
24.08.2005 01:01 32.626 SchedLgU.Txt
24.08.2005 00:59 825.894 ntbtlog.txt
24.08.2005 00:55 14.336 Thumbs.db
24.08.2005 00:39 174.382 setupact.log
23.08.2005 23:32 116 NeroDigital.ini
23.08.2005 22:10 2 flag.bla
23.08.2005 14:32 24.723 medctroc.Log
23.08.2005 14:01 335 nsreg.dat
23.08.2005 14:01 87.184 NSUninst.exe
23.08.2005 14:01 8.062 mozver.dat
23.08.2005 14:01 634 win.ini
23.08.2005 14:01 87.184 GREUninstall.exe
23.08.2005 13:16 704.479 setupapi.log
21.08.2005 01:32 113.769 wmsetup.log
17.08.2005 18:22 352.256 eSellerateEngine.dll
16.08.2005 22:43 3.250 Ascd_tmp.ini
16.08.2005 14:25 227 system.ini
14.08.2005 12:29 38.472 KB890046.log
14.08.2005 12:24 6.906 updspapi.log
14.08.2005 12:23 38.363 ntdtcsetup.log
14.08.2005 12:23 338.820 iis6.log
14.08.2005 12:23 59.596 comsetup.log
14.08.2005 12:23 8.160 tabletoc.log
14.08.2005 12:23 96.921 tsoc.log
14.08.2005 12:23 8.974 ocmsn.log
14.08.2005 12:23 1.374 imsins.log
14.08.2005 12:23 27.298 netfxocm.log
14.08.2005 12:23 133.823 ocgen.log
14.08.2005 12:23 10.119 msgsocm.log
14.08.2005 12:23 160.618 FaxSetup.log
14.08.2005 12:23 84.982 msmqinst.log
14.08.2005 12:23 25.839 KB896358.log
14.08.2005 12:22 1.374 imsins.BAK
14.08.2005 12:22 18.534 KB901214.log
14.08.2005 12:21 37.236 KB894391.log
14.08.2005 12:20 2.683 KB883939-IE6SP1-20050428.125228.log
14.08.2005 12:20 10.234 KB883939.log
10.08.2005 19:34 1.135 IE4 Error Log.txt
08.08.2005 14:55 477 ODBC.INI
05.08.2005 11:58 316.640 WMSysPr9.prx
05.07.2005 13:42 380 DINFO.INI



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 2C70-2EC2

Verzeichnis von C:\

24.08.2005 01:49 0 sys.txt
24.08.2005 01:48 7.439 system.txt
24.08.2005 01:47 490 systemtemp.txt
24.08.2005 01:45 107.213 system32.txt
24.08.2005 01:02 1.207.959.552 pagefile.sys
24.08.2005 00:38 675 smitfiles.txt
16.08.2005 14:25 211 boot.ini
26.06.2005 23:25 5.120 Thumbs.db
25.06.2005 22:46 47.564 NTDETECT.COM
25.06.2005 22:46 251.184 ntldr
01.04.2005 23:05 0 itouch_crash_info.txt
01.04.2005 21:04 0 IO.SYS
01.04.2005 21:04 0 CONFIG.SYS
01.04.2005 21:04 0 AUTOEXEC.BAT
01.04.2005 21:04 0 MSDOS.SYS
09.09.2001 16:32 4.952 bootfont.bin
16 Datei(en) 1.208.384.400 Bytes
0 Verzeichnis(se), 6.948.630.528 Bytes frei



Danke und gute n8

Snippy

#12 na, du sollst auch den Pfad oben mit abkopieren....

???????????????

Zitat

24.08.2005 01:02 17.145 nvapps.xml
23.08.2005 22:12 160 zlokdfs9.leo
23.08.2005 22:10 55.000 ztoolb009.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 2C70-2EC2

Verzeichnis von C:\WINDOWS\system32

24.08.2005 01:02 17.145 nvapps.xml
23.08.2005 22:12 160 zlokdfs9.leo
23.08.2005 22:10 55.000 ztoolb009.dll
23.08.2005 22:10 61 birdihuy.dll
23.08.2005 22:10 28.672 birdihuy32.dll
20.08.2005 19:22 16.896 Thumbs.db
13.08.2005 15:12 4.286 ptainfo2.ico
13.08.2005 15:12 4.286 ptainfo1.ico
08.08.2005 14:58 308.222 perfh009.dat
08.08.2005 14:58 313.310 perfh007.dat
08.08.2005 14:58 38.604 perfc009.dat
08.08.2005 14:58 46.690 perfc007.dat
08.08.2005 14:58 706.566 PerfStringBackup.INI
08.08.2005 14:56 269.392 FNTCACHE.DAT
05.08.2005 21:41 512.000 germanwings.scr
04.08.2005 23:04 23.832 _DSC0007%20(2)[1].jpg
04.08.2005 18:54 1.457.496 MRT.exe
03.08.2005 12:13 2.256.328 Free Fish Screensaver.scr
03.08.2005 12:01 2.472 Free Fish Screensaver.html
24.07.2005 13:27 2.262 wpa.dbl
30.06.2005 00:17 160 $$$_.log
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
26.06.2005 21:15 16.832 amcompat.tlb
26.06.2005 21:15 23.392 nscompat.tlb
25.06.2005 22:55 261 spupdwxp.log
25.06.2005 21:40 25.065 wmpscheme.xml
25.06.2005 21:37 95 spdwnwxp.log
02.06.2005 12:01 179.712 ConnAPI.dll
27.05.2005 15:13 53.050 nmwcdcls.dll
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 546.304 hhctrl.ocx
26.05.2005 10:30 25.600 NclTools.dll
16.05.2005 17:42 17.408 xpsp3res.dll
02.05.2005 22:56 605.696 urlmon.dll
02.05.2005 22:56 663.552 wininet.dll
02.05.2005 22:56 448.512 mshtmled.dll
02.05.2005 22:56 39.424 pngfilt.dll
02.05.2005 22:56 474.112 shlwapi.dll
02.05.2005 22:56 146.432 msrating.dll
02.05.2005 22:56 1.484.288 shdocvw.dll
02.05.2005 22:56 1.019.904 browseui.dll
02.05.2005 22:56 152.064 cdfview.dll
02.05.2005 22:56 96.768 inseng.dll
02.05.2005 22:56 250.880 iepeers.dll
02.05.2005 13:56 3.011.072 mshtml.dll
28.04.2005 21:31 395.776 rpcss.dll
28.04.2005 21:31 1.285.120 ole32.dll
28.04.2005 21:31 37.888 olecnv32.dll
28.04.2005 21:31 74.752 olecli32.dll
05.04.2005 00:50 3.873 jupdate-1.4.2_08-b03.log
04.04.2005 13:19 176.167 rmoc3260.dll
04.04.2005 13:19 5.632 pndx5032.dll

Sorry, ist schon so spät. Muss jetzt auch mal schlafen.

#14

Zitat

Sabina postete
Gehe in die Registry

start-->Ausfuehren-->regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

loesche:

"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\zlokdfs9.leo
C:\WINDOWS\desktop.html
C:\WINDOWS\POPUP.HTML
C:\WINDOWS\System32\ztoolb009.dll
C:\WINDOWS\System32\birdihuy.dll
C:\WINDOWS\System32\birdihuy32.dll

PC neustarten

Falls nötig, das ausführen (Geht auch über Systemsteuerung - Anzeige)

1 - Taskleiste Rechtsklick - dann Eigenschaften.
2 - Taskleiste automatisch ausblenden: Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop- hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Desktop - dann auf: Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

dann berichte

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Scan saved at 08:22:42, on 24.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sani\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120935901981
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{789561EC-B6B6-499F-A984-DEA3BC46EC09}: NameServer = 213.20.148.139,193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C6B6B1-8C84-4A18-B304-FABEECB12DE5}: NameServer = 213.20.148.139,193.189.244.205
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe