Mehrere Trojaner - Bitte um Bewertung des eScan-Ergebnisses

#16 Hallo Sabina!

Vielen Dank für deine Empfehlungen. Mit einigen Befehlen konnte mein Rechner offenbar nichts anfangen:


1. clean.bat

DOS-Protokoll von clean.bat:

C:\WINDOWS\Desktop>del c:\*.tmp

C:\WINDOWS\Desktop>del C:\WINDOWS\TEMP\*.tmp /f
Ungültige Option - /F

C:\WINDOWS\Desktop>del C:\WINDOWS\temp\*.* /f
Ungültige Option - /F

C:\WINDOWS\Desktop>del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Tem
p\*.* /f
Zu viele Parameter - und

C:\WINDOWS\Desktop>


2. findfile.bat

DOS-Protokoll von findfile.bat:

C:\WINDOWS\Desktop>dir C:\WINDOWS\help_dcc.dll /a h > files.txt
Zu viele Parameter - h

C:\WINDOWS\Desktop>notepad files.txt

C:\WINDOWS\Desktop>


3. datfind.bat

Beim Ablauf von datfind.bat hat sich der Editor nie geöffnet, so dass ich insoweit leider nichts posten kann.


4. FindIt

Ähnliches Problem wohl auch bei FindIt, hier das DOS-Protokoll:

system.txt
hidden.txt
guard.txt
temp.txt
useragent.txt
notify.txt
gibberish.txt
locate.txt
1 Datei(en) kopiert
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Ungültige Option - /Q
Die Datei 'output.txt' oder eine ihrer Komponenten wurde nicht
gefunden. Prüfen Sie, ob der Pfad- und Dateiname richtig angegeben
wurde und ob alle erforderlichen Bibliotheken verfügbar sind.
Weiter mit beliebiger Taste . . .

Ungültige Option - /Q


5. WinPFind

Hier aber wenigstens das Ergebnis von WinPFind:


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Windows Millennium Edition Version: 4.90.3000
Internet Explorer Version: 5.50.4134.0100

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 20.01.2002 20:25:20 124536 C:\FixBadtr.exe

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Items found in C:\WINDOWS\hosts

UPX! 03.10.2002 23:44:00 51712 C:\WINDOWS\xdm.dll

Checking %System% folder...
UPX! 25.08.2005 08:08:52 45568 C:\WINDOWS\SYSTEM\ntfsnlpa.exe
FSG! 14.08.2005 23:16:48 705 C:\WINDOWS\SYSTEM\msexnpbi.exe
aspack 22.08.2000 23:21:00 19456 C:\WINDOWS\SYSTEM\jesterss.dll

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
25.08.2005 19:28:18 RH 5369888 C:\WINDOWS\CLASSES.DAT
26.08.2005 00:25:28 RH 2187296 C:\WINDOWS\SYSTEM.DAT
26.08.2005 00:27:56 RH 1208352 C:\WINDOWS\USER.DAT
23.07.2005 15:08:02 HS 62709760 C:\WINDOWS\VMMHIBER.W9X
26.08.2005 00:12:24 H 20372 C:\WINDOWS\ttfCache
25.08.2005 23:55:50 H 64710 C:\WINDOWS\PCHEALTH\HELPCTR\Database\HelpSessionHistory.stream
26.08.2005 00:13:38 H 6 C:\WINDOWS\TASKS\SA.DAT
26.08.2005 00:13:44 HS 2498 C:\WINDOWS\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
26.08.2005 00:15:14 H 162 C:\WINDOWS\Anwendungsdaten\Microsoft\Vorlagen\~$Normal.dot
26.07.2005 09:47:44 H 94208 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL0297.tmp
11.07.2005 19:40:06 H 1378816 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL3461.tmp
19.07.2005 14:25:54 H 1389568 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1169.tmp
15.07.2005 13:12:34 H 1397760 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL4079.tmp
19.07.2005 16:01:10 H 1414656 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL3723.tmp
19.07.2005 15:50:34 H 1391104 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1229.tmp
26.07.2005 11:34:34 H 94720 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL0982.tmp
19.07.2005 17:04:06 H 1395712 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1211.tmp
30.07.2005 16:19:52 H 76800 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1539.tmp
26.07.2005 11:54:36 H 95232 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL2690.tmp
26.07.2005 12:14:42 H 94720 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1486.tmp
26.07.2005 12:35:02 H 95744 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL3602.tmp
26.07.2005 20:35:32 H 97792 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1152.tmp
26.07.2005 20:55:46 H 99840 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL3348.tmp
26.07.2005 21:26:00 H 99328 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1673.tmp
15.08.2005 15:04:16 H 103424 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1834.tmp
30.07.2005 18:04:56 H 72704 C:\WINDOWS\Anwendungsdaten\Microsoft\Word\~WRL1394.tmp
26.08.2005 00:15:16 H 162 C:\WINDOWS\Desktop\~$twort 3.doc
25.08.2005 23:21:28 HS 67 C:\WINDOWS\Temporary Internet Files\desktop.ini
25.08.2005 23:21:28 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\desktop.ini
25.08.2005 23:55:48 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\KHEPYT6T\desktop.ini
25.08.2005 23:55:48 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\4U0DG3CX\desktop.ini
25.08.2005 23:55:48 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\OHMZWHEB\desktop.ini
25.08.2005 23:55:48 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\OTEB4DQV\desktop.ini
25.08.2005 22:56:02 HS 120 C:\WINDOWS\Recent\Desktop.ini

Checking for CPL files...
Acer Laboratories Inc. 06.12.2000 19:00:56 61440 C:\WINDOWS\SYSTEM\ALIPANEL.CPL
Microsoft Corporation 08.06.2000 17:00:00 260368 C:\WINDOWS\SYSTEM\INETCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 63488 C:\WINDOWS\SYSTEM\INTL.CPL
Microsoft Corporation 08.06.2000 17:00:00 105315 C:\WINDOWS\SYSTEM\MODEM.CPL
Microsoft Corporation 08.06.2000 17:00:00 41232 C:\WINDOWS\SYSTEM\ODBCCP32.CPL
Microsoft Corporation 08.06.2000 17:00:00 63760 C:\WINDOWS\SYSTEM\POWERCFG.CPL
Microsoft Corporation 08.06.2000 17:00:00 82432 C:\WINDOWS\SYSTEM\APPWIZ.CPL
Microsoft Corporation 08.06.2000 17:00:00 224352 C:\WINDOWS\SYSTEM\DESK.CPL
Microsoft Corporation 08.06.2000 17:00:00 113152 C:\WINDOWS\SYSTEM\MAIN.CPL
Microsoft Corporation 08.06.2000 17:00:00 409088 C:\WINDOWS\SYSTEM\MMSYS.CPL
Microsoft Corporation 08.06.2000 17:00:00 14579 C:\WINDOWS\SYSTEM\NETCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 49664 C:\WINDOWS\SYSTEM\PASSWORD.CPL
Microsoft Corporation 08.06.2000 17:00:00 394755 C:\WINDOWS\SYSTEM\SYSDM.CPL
Microsoft Corporation 08.06.2000 17:00:00 15360 C:\WINDOWS\SYSTEM\TELEPHON.CPL
Microsoft Corporation 08.06.2000 17:00:00 36864 C:\WINDOWS\SYSTEM\TIMEDATE.CPL
Microsoft Corporation 08.06.2000 17:00:00 15664 C:\WINDOWS\SYSTEM\WUAUCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 69632 C:\WINDOWS\SYSTEM\ACCESS.CPL
Microsoft Corporation 08.06.2000 17:00:00 15360 C:\WINDOWS\SYSTEM\THEMES.CPL
Microsoft Corporation 29.01.1999 13:14:30 40960 C:\WINDOWS\SYSTEM\FINDFAST.CPL
Caere Corp. 03.11.2000 14:18:52 303104 C:\WINDOWS\SYSTEM\scmgrcpl50.cpl
Lucent Technologies 15.07.2002 10:38:50 167936 C:\WINDOWS\SYSTEM\WNLUC48.CPL
Microsoft Corporation 30.10.2001 08:10:00 192512 C:\WINDOWS\SYSTEM\JOY.CPL

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...
27.03.2005 13:54:32 549 C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %USERPROFILE%\Application Data folder...
08.01.2004 13:28:00 75 C:\WINDOWS\Anwendungsdaten\fusioncache.dat
30.09.2002 01:42:12 25472 C:\WINDOWS\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{FEF10FA2-355E-4e06-9381-9B24D7F7CC88} = C:\WINDOWS\SYSTEM\SHELL32.DLL
{53C74826-AB99-4d33-ACA4-3117F51D3788} = C:\WINDOWS\SYSTEM\SHELL32.DLL
{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL
{BD472F60-27FA-11cf-B8B4-444553540000} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL
{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\Web Folders\MSONSEXT.DLL
{0006F045-0000-0000-C000-000000000046} = C:\PROGRA~1\MICROS~1\OFFICE\OLKFSTUB.DLL

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ScanMenu
{48f45200-91e6-11ce-8a4f-0080c81a28d4} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\WINDOWS\Desktop\Antivir\AVShlExt.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\WINDOWS\Desktop\Antivir\AVShlExt.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\SharingMenu
{6D78EC20-5AA6-101B-8681-366FBD64CEB9} = msshrui.dll

<<< WARNING! - NOT A VALID WIN98 KEY! (ME is Ok) >>>
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7ab770c7-0e23-4d7a-8aa2-19bfad479829}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINDOWS\SYSTEM\DOCPROP2.DLL

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00110011-4B0B-44D5-9718-90C88817369B}
= C:\WINDOWS\sys_ext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}
SearchToolbar =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = C:\WINDOWS\SYSTEM\SHDOCVW.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINDOWS\SYSTEM\MSDXM.OCX
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
ButtonText = @shdoclc.dll,-866@1031,Verwandte Links :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer Band = C:\WINDOWS\SYSTEM\BROWSEUI.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11D0-B416-00C04FB90376}
&Tipps und Tricks = C:\WINDOWS\SYSTEM\SHDOCVW.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = C:\WINDOWS\SYSTEM\SHDOCVW.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Microsoft SearchBand = C:\WINDOWS\SYSTEM\BROWSEUI.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry C:\WINDOWS\scanregw.exe /autorun
TaskMonitor C:\WINDOWS\taskmon.exe
PCHealth C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
SystemTray SysTray.Exe
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ALiSndMgr ALiSndMg.exe
LTSMMSG LTSMMSG.exe
AcerPowerkey "C:\Programme\Acer\Powerkey\Powerkey.exe"
SynTPLpr C:\Programme\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh C:\Programme\Synaptics\SynTP\SynTPEnh.exe
VolKey C:\WINDOWS\SYSTEM\Keymap.exe
Launch App c:\DMSINFO\launapp.exe
AVGCtrl C:\WINDOWS\DESKTOP\ANTIVIR\AVGCTRL.EXE /min
AVWUpd32 C:\WINDOWS\DESKTOP\ANTIVIR\AVWUPD32.EXE /min
TkBellExe C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
D-Link AirPlus G C:\Programme\D-Link\AirPlus G\AirGCFG.exe
ANIWZCS2Service C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
HCLEAN32.EXE C:\WINDOWS\SYSTEM\HCLEAN32.EXE
dmdrk.exe C:\WINDOWS\SYSTEM\dmdrk.exe
cseom.exe cseom.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
MSFS Installed = 1
MAPI Installed = 1
IMAIL Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent mstask.exe
SSDPSRV C:\WINDOWS\SYSTEM\ssdpsrv.exe
*StateMgr C:\WINDOWS\System\Restore\StateMgr.exe
StillImageMonitor C:\WINDOWS\SYSTEM\STIMON.EXE
KB891711 C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpyBlocs C:\Programme\eBlocs\SpyBlocs\GLF9001.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp
NoRealMode 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
HideSharePwds

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\Web Folders\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun •
CDRAutoRun
NoBandCustomize 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
UPnPMonitor {e57ce738-33e8-4c51-8354-bb4de9d215d1} = C:\WINDOWS\SYSTEM\UPNPUI.DLL
AUHook {BCBCD383-3E06-11D3-91A9-00C04F68105C} = C:\WINDOWS\SYSTEM\AUHOOK.DLL


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.3.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 26.08.2005 00:40:53

6. HijackThis

Hier ist die Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 01:22:32, on 26.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\ALISNDMG.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\PROGRAMME\ACER\POWERKEY\POWERKEY.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\WINDOWS\DESKTOP\ANTIVIR\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\EVNTSVC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\D-LINK\AIRPLUS G\AIRGCFG.EXE
C:\PROGRAMME\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\PROGRAMME\EBLOCS\SPYBLOCS\GLF9001.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\REGEDIT.COM
C:\WINDOWS\REGEDIT.COM
C:\WINDOWS\WUAUCLT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.21.68/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://66.40.21.68/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.21.68/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php
O1 - Hosts: 66.40.21.73 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VolKey] C:\WINDOWS\SYSTEM\Keymap.exe
O4 - HKLM\..\Run: [Launch App] c:\DMSINFO\launapp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\WINDOWS\DESKTOP\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\WINDOWS\DESKTOP\ANTIVIR\AVWUPD32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM\HCLEAN32.EXE
O4 - HKLM\..\Run: [dmdrk.exe] C:\WINDOWS\SYSTEM\dmdrk.exe
O4 - HKLM\..\Run: [cseom.exe] cseom.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF9001.exe
O4 - HKCU\..\RunServices: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF9001.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com/
O15 - Trusted Zone: *.isprime.com
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4566/mcfscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12



7. HCLEAN
Habe versucht, HCLEAN32 zu beseitigen. Beim Start von fixme.reg werde ich gefragt:
„Sollen die Informationen in ... in die Registrierung hinzugefügt werden?“ Ich habe auf „Ja“ geclickt. Dann kam die Bestätigung, dass die Informationen hinzugefügt wurden. (Ich habe keine Ahnung, was ich damit bewirkt habe...) Daraufhin habe ich versucht, die in der Anleitung (http://virus-protect.org/Artikel/spyware/hclean32.html) unter „Löschen“ angegebenen Dateien zu löschen. Bis auf die Baloon-Datei habe ich keine einzige bei mir gefunden, die Baloon-Datei immerhin gelöscht.


8. Die Sinnfrage

Aber jetzt mal was Grundsätzliches: Ich bin euch sehr dankbar für alle Tipps, aber ich habe inzwischen mindestens 20 Stunden in diesen – Entschuldigung – beschissenen Rechner investiert, ohne dass – für mich – erkennbare Erfolge erzielt worden sind. Könnt ihr ungefähr(!) abschätzen, wieviel Zeit es mich kosten wird, bis das Ding endlich clean ist? Wenn mich noch einmal so viel Aufwand erwartet, kaufe ich lieber einen neuen Rechner, als weitere Lebenszeit damit zu vergeuden, persönliche Erfahrungen mit der Anfälligkeit von Microsoft-Systemen und vor allem der „Müll-Edition“ zu machen. Ich möchte nochmals betonen, dass ich weit davon entfernt bin, euch die Schuld für den Zeitaufwand in die Schuhe zu schieben. Im Gegenteil, ich bin beeindruckt von eurem Engagement.

Gruß
Falcon

#17 Hallo Falcon,

da ich Sabina ungern in ihre Arbeit reinpfuschen möchte, möchte ich Dir nur eine Antwort auf die Sinnfrage geben:

Abzuschätzen, wie lange es dauern würde, bis der PC wieder "clean" ist, ist nicht einfach. Du arbeitest gut mit, dennoch kann immer etwas unvorhergesehenes passieren.
Wenn es Dein Budget zulässt, wäre ein Umstieg auf ein wesentlich sichereres Windows-Betriebssystem ein guter Schritt. Linux lasse ich hier bewusst außenvor. Es ist zwar das sicherste, aber nicht unbedingt das benutzerfreundlichste Betriebssystem (auch wenn sich da schon einiges getan hat - und je nachdem, wie man "benutzerfreundlich" definiert). Empfehlenswert wäre hier Windows XP.
Wie sicher der PC dann aber letztendlich ist, liegt immer auch am Benutzer - und in gewisser Weise auch am Geld. Neben den regelmäßigen Windowsupdates, die man auf keinen Fall ignorieren sollte, ist ein brauchbarer Virenscanner und eine Firewall schon Pflicht (auch wenn die Meinungen über Personal Firewalls geteilt sind). Dazu kommt, dass man mehrere AntiSpy-Produkte einsetzen sollte. Der Grund: was ein Programm nicht findet, findet ein anderes. Hier kann man ohne Sorge auf die kostenlosen Programme zurückgreifen, denn die leisten mindestens genausoviel wie die kommerziellen. Auch mit diesen Programmen kann man, neben der üblichen Spyware-Entfernung, sein System gut abschotten (Spybot S&D bietet bspw. u.a. eine Immunisierungsfunktion an und kann auf Wunsch bösartige Webseiten blocken).

Ebenso sollte man eine gewisse Grundkenntnis zur Funktion von Windows besitzen. Überdies ist natürlich ein wachsames Auge gefragt: Dateianhänge von Mails nicht öffnen, wenn es nicht angefordert wurde oder der Absender unbekannt ist; nicht auf Links in Mails von unbekannten Absendern klicken (da kann dann sowas passieren); nicht auf alles klicken, was im Internet angeboten wird (ggf. vorher informieren); nur Dateien von vertrauensvollen Seiten herunterladen und installieren; und so weiter...

Des Weiteren sollte man die Finger vom Internet Explorer lassen und ihn nur verwenden, wenn es nicht anders möglich ist. Dasselbe gilt für Outlook/Outlook Express. Stattdessen verwendet man alternative Geschichten wie den Firefox (Browser) und Thunderbird (Mail-Client).

Meine Empfehlung für ein relativ sicheres Betriebssystem:
Windows XP (mit allen Patches)
Firefox: quasi unendlich erweiterbar über http://erweiterungen.de und https://addons.mozilla.org
Thunderbird: ebenfalls erweiterbar über die genannten Adressen.

Virenscanner (nur einer):
- F-Secure (nutze ich gerade)
- BitDefender
- Kaspersky
- Antivir ist zwar kostenlos, taugt meiner Meinung nach aber nicht ganz so viel
- Norton hatte ich Jahrelang und ich war jahrelang Virenfrei, allerdings hat Norton so seine Nachteile

Firewall (oft im Bundle mit einer AntiVirus-Software; auch nur eins benutzen):
- F-Secure (nutze ich gerade)
- Norton (siehe oben)
- Sygate ist kostenlos und sehr brauchbar
- ZoneAlarm ist kostenlos, taugt aber m.E. nicht viel (zu viele schlechte Erfahrung damit gemacht)

AntiSpyware:
- Spybot S&D: Sehr gute Erkennung, immunisiert das System, blockiert bösartige Webseiten (per Hosts-Datei), verhindert Systemänderungen, verhindert Änderungen der IE-Einstellungen
- AdAware: sehr gute Erkennung, reinigt zuverlässig. Die Kauf-Version bietet zudem noch einen System-Monitor, eine Prozess-Kontrolle und ist überdies als AntiSpyware im F-Secure Internet Security 2005 implementiert
- Microsoft AntiSpyware: gute Erkennung, ignoriert jedoch ein paar Adware-Module, seit Microsoft mit Claria kooperiert

Eins sollte Dir auf jeden Fall klar sein: ein Betriebssystem ist nur so sicher wie sein Benutzer.

So, ich hoffe, dass das nicht zu sehr OffTopic war
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#18 Danke für die umfangreiche Beratung, Managor.

Ich habe mich jetzt entschieden, einen neuen Rechner zu kaufen. Dafür gibt es mehrere Gründe, und der aktuelle Virenbefall hat das Fass zum Überlaufen gebracht.

Jetzt stellt sich nur noch die Frage, wie ich meine persönlichen Daten (Ordner "Eigene Dateien" sowie E-mails und Mail-Adressen) sicher übertrage. Da diese persönlichen Dateien aber offenbar nicht infiziert sind und der neue Rechner überdies hoffentlich zu einer wirksamen Verteidigung in der Lage sein wird, sehe ich hier kein Problem.

Seht ihr das anders? Habt ihr noch Anmerkungen oder Hinweise auf nützliche URLs zum Thema "sicherer Datentransfer zwischen zwei Rechnern"?

Nochmals ein großes Dankeschön an Sabina und Managor für eure kurzfristigen und umfangreichen Hilfestellungen.

Gruß
Falcon

#19 silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
------------------------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\Software\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.21.68/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://66.40.21.68/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.21.68/search.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php
O1 - Hosts: 66.40.21.73 auto.search.msn.com
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM\HCLEAN32.EXE
O4 - HKLM\..\Run: [dmdrk.exe] C:\WINDOWS\SYSTEM\dmdrk.exe
O4 - HKLM\..\Run: [cseom.exe] cseom.exe
O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF9001.exe
O4 - HKCU\..\RunServices: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF9001.exe
O15 - Trusted Zone: *.isprime.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM\dmdrk.exe
C:\WINDOWS\SYSTEM\cseom.exe
C:\WINDOWS\cseom.exe
C:\cseom.exe
C:\WINDOWS\SYSTEM\HCLEAN32.EXE
C:\WINDOWS\sys_ext.dll
C:\WINDOWS\SYSTEM\ntfsnlpa.exe
C:\WINDOWS\SYSTEM\msexnpbi.exe

PC neustarten

deinstalieren und alles loeschen:
C:\Programme\eBlocs\SpyBlocs

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit