wininet.dll infiziert mit desktophijacker.

#16 liebe sabina,

ich habe alle onlinescans versucht, keiner funktioniert bei diesem mozilla/netscape, entweder gehen sie nur mit IE, der ja bei mir ausser gefecht ist oder sie bemängeln mangelnde plug-ins oder activeX. ich habe sogar schon auf so 1 plug in download geklickt, es brachte aber keine änderung. leider weiss ich nicht, wie und wo ich das einstellen müsste, damit es funktionieren würde.

ich habe auf gut glück den antivir mal laufen lassen, sicher ist das aber nicht, was du brauchen kannst, fürchte ich. was kann ich nur tun? ich sehne mich nach meinem IE.

hier dennoch das antivirlog, falls du es doch verwenden könntest:


Erstellungsdatum der Reportdatei: Sonntag, 28. August 2005 23:08

AntiVir®/9x PersonalEdition Classic
Build 1047 vom 07.06.2005
Hauptptogramm 6.31.00.03 vom 10.05.2005
VDF-Datei 6.31.1.187 (0) vom 26.08.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 207733 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows 98
Windows-Version: 4.10.2222 A
Benutzername: n
Prozessor: Pentium
Arbeitsspeicher: 261564 KB frei

Versionsinformationen:
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVEWIN32.DLL : 6.31.1.0 823808 21.07.2005 20:53:02
SYS_RW16.DLL : 6.19.0 12800 25.10.2004 12:33:28
SYS_RW32.DLL : 6.19.0 16384 25.10.2004 12:33:28
AVGCTRL.EXE : 6.31.00.03 114743 19.05.2005 12:28:40
AVGUARD.VXD : 6.31.1.0 540775 21.07.2005 20:53:02
AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:10
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:18
AVRep.DLL : 6.31.01.180 1306664 27.08.2005 13:59:36
INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:06:42
INETUPD.DLL : 6.31.00.02 159744 29.04.2005 08:06:42
MFC42.DLL : 6.00.8665.0 995383 06.04.2000 20:13:36
MSVCRT.DLL : 6.00.8797.0 278581 06.04.2000 20:10:40
CTL3D32.DLL : 2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : 2.31.000 27632 05.05.1999 22:22:00

Konfigurationsdaten:

Name der Konfigurationsdatei: D:\PROGRAMME\AVPERSONAL\AVWIN.INI
Name der Reportdatei: D:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG
Startpfad: D:\PROGRAMME\AVPERSONAL
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> D:\PROGRAMME\AVPERSONAL\BUILD.DAT
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: Festplatte
F: Festplatte
G: Festplatte
H: Festplatte
I: Festplatte
J: Festplatte
K: CDRom
L: CDRom

Start des Suchlaufs: Sonntag, 28. August 2005 23:08

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK


C:\WIN\options\cabs
DRIVER14.CAB
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)

Ende des Suchlaufs: Sonntag, 28. August 2005 23:19
Benötigte Zeit: 11:17 min


2460 Verzeichnisse wurden durchsucht
78040 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

#17 HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Logfile of HijackThis v1.99.1
Scan saved at 23:45:40, on 28.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN\SYSTEM\KERNEL32.DLL
C:\WIN\SYSTEM\MSGSRV32.EXE
C:\WIN\SYSTEM\MPREXE.EXE
C:\WIN\SYSTEM\ATI2EVAE.EXE
C:\WIN\SYSTEM\HIDSERV.EXE
D:\NORTON\NISUM.EXE
C:\WIN\SYSTEM\mmtask.tsk
C:\WIN\EXPLORER.EXE
C:\WIN\TASKMON.EXE
C:\WIN\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WIN\SYSTEM\DDHELP.EXE
C:\WIN\SYSTEM\WMIEXE.EXE
C:\T-Online\BSW3\ONLINE.EXE
C:\WIN\SYSTEM\RNAAPP.EXE
C:\WIN\SYSTEM\TAPISRV.EXE
C:\T-ONLINE\BSW3\TODUCALC.EXE
D:\PROGRAMME\MOZILLA1.7.7\MOZILLA.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win\downloaded program files\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [RegisterDropHandler] d:\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\BIN\REGIST~1.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\WIN\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\WIN\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\WIN\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\WIN\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\WIN\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - H:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WIN\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WIN\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - H:\diashow\Ebay\Ebay.htm
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014061.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/18b828f7e605947d2815/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

#19
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014061.exe

PC neustarten

suche /loesche:
1014061.exe

(eventuell in den C:\Windows\Downloaded Program Files )

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird


DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit

#20 morgen schaue ich es mir an...jetzt mache ich Schluss
Bis morgen
__________
MfG Sabina

rund um die PC-Sicherheit

#21 liebe sabina,

hab vielen dank für deinen einsatz, deine zeit udn deine geduld mit mir bis hierher.
den allerersten schritt tat ich schon mti dem highjack this. nun suchte ich 1014061.exe nach neustart. finde aber nichts. ich mach das morgen früh gleich nochmal. und hoffe, dass wir irgendwie weiterkommen.
hab du nun 1 gute nacht.

#22 die exe muesste vorhanden sein, wie ich schon sagte, wahrscheinlich unter
Downloaded Program Files
__________
MfG Sabina

rund um die PC-Sicherheit

#23 liebe sabina,
heute geht scheinbar nichts, wie es sollte. seit stunden mühe ich mich damit ab. so sehr ich mich auch bemühte, die 1014061.exe ist unauffindbar, ich durchsuchte alles. mit voller länge, mit halber, mit udn ohne exe, ich versuchte alles. sie wird nicht gefunden. sowohl mit der suchfunktion, als auch manuell jeden ordner klickend.
und auch den nächsten schritt kann ich nicht vollziehen, den silentrunner downloadete ich. klicke ich aber auf die vbs. datein, um sie zu öffnen, bekomem ich die meldung: scriptrequires WMI to run. dann habe ich die wahl mit dem ok-befehl zum download des nötigen zu kommen unter htt://tinyurl.com/jbixe. klicke ich dann oke, um das zu tun, geht nur wieder meine nicht funktionierende, leere microsoft IE seite auf. (((
soweit mein frustrierender zwischenbericht. ich versuche nun, ob wenigstens der letzte schritt geht, das DLL compare.

#24 http://www.silentrunners.org/sr_download.html
-->
Click here to download a zip file.

-Entpacken:
-klicke: Silent Runners.vbs -- Doppelklick und es öffnet sich der Editor--
und kopiere alles ab , was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 nachtrag: habe den link geklickt, download ausgeführt. das DLL compare ist da. klicke ich es, um es zu starten, komtm die meldung:
laufzeitfehler '52'
dateiname - oder nummer falsch.
und nichts passiert.

nachtrag 2:

nochmal zip file silent runner gedownloaded, entpackt in neuen ordner, doppelklick des silent runner.vbs -->
leider wieder dasselbe:
meldung: script requires WMI, windows management instrumentation to run. it can be downloaded at htt://tinyurl.com/jbixe. press "ok" to direct your browser to the downloaded site or "cancel" to quit.

(klicke ich dann ok, um das zu tun, geht nur wieder meine nicht funktionierende, leere microsoft IE seite auf. )

#26 http://virus-protect.org/winpfind.html
klappt das ?
__________
MfG Sabina

rund um die PC-Sicherheit

#27 ja, das scheint zu gehen:



»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Windows 98 Version: 4.10.2222
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Items found in C:\WIN\hosts


Checking %System% folder...

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
29.08.05 14:43:04 RH 6197280 C:\WIN\SYSTEM.DAT
29.08.05 14:43:16 RH 2019360 C:\WIN\USER.DAT
26.08.05 00:15:18 H 19358 C:\WIN\ttfCache
26.08.05 09:36:52 H 54156 C:\WIN\QTFont.qfn
28.08.05 20:55:16 H 1193435 C:\WIN\ShellIconCache
21.07.05 21:22:28 HS 2494 C:\WIN\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
28.08.05 20:59:12 RH 1683488 C:\WIN\Profiles\xyz\USER.DAT
28.08.05 08:23:04 HS 1096 C:\WIN\Profiles\xyz\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
28.08.05 11:34:40 HS 1096 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
27.08.05 20:09:40 H 352 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata00.sqm
15.08.05 13:02:30 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata01.sqm
15.08.05 21:46:22 H 1652 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata02.sqm
15.08.05 21:46:22 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata03.sqm
16.08.05 01:41:22 H 1704 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata04.sqm
16.08.05 01:41:24 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata05.sqm
16.08.05 16:21:34 H 1228 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata06.sqm
16.08.05 16:21:34 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata07.sqm
17.08.05 02:32:10 H 1884 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata08.sqm
17.08.05 02:32:12 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata09.sqm
17.08.05 17:06:04 H 1300 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata10.sqm
17.08.05 17:06:04 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata11.sqm
18.08.05 13:43:16 H 1324 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata12.sqm
18.08.05 13:43:18 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata13.sqm
18.08.05 17:35:34 H 1108 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata14.sqm
18.08.05 17:35:34 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata15.sqm
19.08.05 01:20:56 H 2368 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata16.sqm
19.08.05 01:21:00 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata17.sqm
19.08.05 14:32:12 H 1800 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata18.sqm
19.08.05 14:32:14 H 340 C:\WIN\Profiles\n\Anwendungsdaten\Microsoft\MSN Messenger\1366737659\sqmdata19.sqm

Checking for CPL files...
Microsoft Corporation 05.05.99 22:22:00 224352 C:\WIN\SYSTEM\DESK.CPL
Microsoft Corporation 29.08.02 293376 C:\WIN\SYSTEM\INETCPL.CPL
Microsoft Corporation 05.05.99 22:22:00 61440 C:\WIN\SYSTEM\INTL.CPL
Microsoft Corporation 05.05.99 22:22:00 423424 C:\WIN\SYSTEM\MMSYS.CPL
Microsoft Corporation 05.05.99 22:22:00 94199 C:\WIN\SYSTEM\MODEM.CPL
Microsoft Corporation 05.05.99 22:22:00 14583 C:\WIN\SYSTEM\NETCPL.CPL
Microsoft Corporation 05.05.99 22:22:00 7952 C:\WIN\SYSTEM\ODBCCP32.CPL
Microsoft Corporation 05.05.99 22:22:00 49152 C:\WIN\SYSTEM\PASSWORD.CPL
Microsoft Corporation 05.05.99 22:22:00 53008 C:\WIN\SYSTEM\POWERCFG.CPL
Microsoft Corporation 05.05.99 22:22:00 74240 C:\WIN\SYSTEM\APPWIZ.CPL
Microsoft Corporation 05.05.99 22:22:00 104448 C:\WIN\SYSTEM\MAIN.CPL
05.05.99 22:22:00 71168 C:\WIN\SYSTEM\STICPL.CPL
Microsoft Corporation 05.05.99 22:22:00 391719 C:\WIN\SYSTEM\SYSDM.CPL
Microsoft Corporation 05.05.99 22:22:00 15360 C:\WIN\SYSTEM\TELEPHON.CPL
Microsoft Corporation 05.05.99 22:22:00 37376 C:\WIN\SYSTEM\TIMEDATE.CPL
Microsoft Corporation 05.05.99 22:22:00 15872 C:\WIN\SYSTEM\THEMES.CPL
Apple Computer, Inc. 10.10.02 19:17:02 295936 C:\WIN\SYSTEM\QuickTime.cpl
Microsoft Corporation 18.10.97 22528 C:\WIN\SYSTEM\FINDFAST.CPL
Sun Microsystems 06.06.02 09:14:00 45175 C:\WIN\SYSTEM\plugincpl140_01.cpl
Apple Computer, Inc. 26.08.96 02:12:00 R 341504 C:\WIN\SYSTEM\QTW32.CPL
NVIDIA Corporation 14.05.03 19:07:44 R 139264 C:\WIN\SYSTEM\nvtuicpl.cpl
Sun Microsystems, Inc. 06.12.04 21:31:48 49265 C:\WIN\SYSTEM\jpicpl32.cpl
Microsoft Corporation 30.10.01 08:10:00 442368 C:\WIN\SYSTEM\JOY.CPL

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...
09.02.05 15:31:38 218 C:\WIN\Profiles\n\Anwendungsdaten\dw.log

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
DT = IEAKT-Online International AG

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = D:\PowerArchiver\PASHLEXT.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = C:\Programme\TuneUp Utilities\sdshelex.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = D:\PowerArchiver\PASHLEXT.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = C:\Programme\TuneUp Utilities\sdshelex.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = I:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\win\downloaded program files\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = C:\WIN\SYSTEM\SHDOCVW.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WIN\SYSTEM\MSDXM.OCX
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\win\downloaded program files\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{AC9E2541-2814-11d5-BC6D-00B0D0A1DE45}
ButtonText = AIM : H:\PROGRAMME\AIM95\AIM.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}
ButtonText = Yahoo! Messenger : C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\WIN\SYSTEM\MSJAVA.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}
ButtonText = eBay - Homepage : H:\diashow\Ebay\Ebay.htm

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = C:\WIN\SYSTEM\SHDOCVW.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = C:\WIN\SYSTEM\SHDOCVW.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WIN\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WIN\SYSTEM\BROWSEUI.DLL
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\win\downloaded program files\googletoolbar1.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WIN\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WIN\SYSTEM\BROWSEUI.DLL
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\win\downloaded program files\googletoolbar1.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry C:\WIN\scanregw.exe /autorun
TaskMonitor C:\WIN\taskmon.exe
SystemTray SysTray.Exe
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Ati2cwxx Ati2cwxx.exe
AtiPTA Atiptaxx.exe
RegisterDropHandler d:\BIN\REGIST~1.EXE
NvCplDaemon RUNDLL32.EXE C:\WIN\SYSTEM\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Hidserv Hidserv.exe run
ATIPOLAB ati2evae.exe
RegisterDropHandler d:\BIN\REGIST~1.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
MinPwdLen


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun •
CDRAutoRun
ClearRecentDocsOnExit 1
NoRecentDocsHistory 1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WIN\SYSTEM\WEBCHECK.DLL


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.3.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.08.05 14:45:49

#28 #öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> /Click the "Open In Notepad" button

poste mir, was da steht
__________
MfG Sabina

rund um die PC-Sicherheit

#29 scan done -->Config--> Misc Tools-->Open Hosts file Manager-->
da stand schon nichts, dennoch nächsten schritt gemacht --> delet line(s) --> es blieb natürlich bei nichts-->/Click the "Open In Notepad" button--> dort steht nichts.

(wenn mein fehler gewesen sein sollte, dass ich den vorgestern downgeloadeten highjack this nahm, anstatt ihn nochmal zu downloaden, geissele ich mich gleich selber.)

#30 ich hoffe, wir haben nun nicht den LokalHost geloescht.....

schau mal unter:
C:\WINDOWS\DRIVERS\ETC
http://virus-protect.org/host.html (hier hast du ein Bild, wie es aussehen muss)

Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> /Click the "Open In Notepad" button

kopiere reinfalls es nicht dasteht)

127.0.0.1 localhost

abspeichern
__________
MfG Sabina

rund um die PC-Sicherheit