Malware.psguard

#0
25.09.2005, 15:58
...neu hier

Beiträge: 6
#1 Hallo,

kann mir jemand bei meinem Problem helfen. Habe gesehn, dass schon recht viele hiermit ein Problem hatten. Bitte um HILFE, hier mein hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 15:55:21, on 25.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WLAN Utility\WlanMon.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AntiVirus 2005\AVKService.exe
C:\Programme\AntiVirus 2005\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EN WLAN Utility] C:\Programme\WLAN Utility\WlanMon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead Quick-Drop] "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CDC448CE-F7C2-407F-9EB5-0F71E8D8FBF4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CDC448CE-F7C2-407F-9EB5-0F71E8D8FBF4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirus 2005\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirus 2005\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Bin nur ein absoluter Laie! Vielen Dank
Seitenanfang Seitenende
26.09.2005, 14:59
Member
Avatar Gool

Beiträge: 4730
#2 Aus Deinem Logfile kann ich keine PSGuard-Infektion erkennen. Aber Du hast mehr als einen Virenscanner installiert. Man sollte nur einen Virenscanner haben, da sich das System sonst verlangsamt. Deinstalliere überflüssige Virenscanner!

Und ganz wichtig! Verwende so selten wie möglich den Internet Explorer. Nutze stattdessen den Firefox: http://firefox-browser.de

Und noch wichtiger: kümmere Dich um die Windowsupdates!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
26.09.2005, 18:58
...neu hier

Themenstarter

Beiträge: 6
#3 Hallol Managor, vielen Dank für Deine Überprüfung und Hinweis. Ich dachte ich hätte mir die PSGuard-Infektion eingefanen. Wenn ich Ad-Aware se über das System laufen lasse, zeigt er mir folgende Meldung an:


MALWARE.PSGUARD
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3}
obj[1]=RegValue : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3} "IT"
obj[2]=RegValue : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3} "No"

Bei öffnen des Browser´s öffnen sich ein selbstinstallierendes Programm von
world-antispy.com.

Was kann das sein?
Seitenanfang Seitenende
27.09.2005, 10:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Daliha

hier ein kleiner Ueberblick ueber world-antispy.com
http://virus-protect.org/artikel/spyware/worldantispy.html
wenn du reinigen willst,(und nicht formatieren) sag mir Bescheid, dann poste ich dir einige Tools, um die malware mehr oder weniger zu entfernen......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 16:07
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina, vielen Dank für Deine Reaktion. Weiß nicht wie ich mir
das eingefangen haben. Es wäre toll, wenn Du mir einige Tools posten könntest. Versuche es erstmal mit der Reinigung.

Gruß Daliha
Seitenanfang Seitenende
27.09.2005, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 CClaener loesche alle temp-Datein
http://virus-protect.org/temp.html

poste mir alle 4 Logs
http://virus-protect.org/datfindbat.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppeltklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WorldAntiSpy.com

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


Zitat

ist fuer mich ;)
C:\PopUp Blocker.url
C:\Program Files\PSGuard\Core.dll
C:\Program Files\PSGuard\Localization.dll
C:\Program Files\PSGuard\msvcp71.dll
C:\Program Files\PSGuard\msvcr71.dll
C:\Program Files\PSGuard\PSGuard.exe
C:\Program Files\PSGuard\WndSystem.dll
C:\Spyware Remover.url
C:\WINDOWS\All Users\Desktop\Blowjob.url
C:\WINDOWS\All Users\Desktop\Car Insurance.url
C:\WINDOWS\All Users\Desktop\Cigarettes Discount.url
C:\WINDOWS\All Users\Desktop\Credit Card.url
C:\WINDOWS\All Users\Desktop\Forex Trading.url
C:\WINDOWS\All Users\Desktop\Free Ringtones.url
C:\WINDOWS\All Users\Desktop\Gift Ideas.url
C:\WINDOWS\All Users\Desktop\Group Sex.url
C:\WINDOWS\All Users\Desktop\Home Loan.url
C:\WINDOWS\All Users\Desktop\Mp3 Download.url
C:\WINDOWS\All Users\Desktop\Online Casino.url
C:\WINDOWS\All Users\Desktop\Online Dating.url
C:\WINDOWS\All Users\Desktop\Phentermine.url
C:\WINDOWS\All Users\Desktop\Play Poker.url
C:\WINDOWS\All Users\Desktop\PopUp Blocker.url
C:\WINDOWS\All Users\Desktop\Porn Dvd.url
C:\WINDOWS\All Users\Desktop\Real Estate.url
C:\WINDOWS\All Users\Desktop\Sport Betting.url
C:\WINDOWS\All Users\Desktop\Spyware Remover.url
C:\WINDOWS\All Users\Desktop\Texas Holdem.url
C:\WINDOWS\All Users\Desktop\Viagra.url
C:\WINDOWS\APPLOG\3292227.LGC
C:\WINDOWS\desktop.html
C:\WINDOWS\flag.bla
C:\WINDOWS\History\History.IE5\MSHist012005091920050926\index.dat
C:\WINDOWS\History\History.IE5\MSHist012005092620050927\index.dat
C:\WINDOWS\ShellIconCache
C:\WINDOWS\SYSBCKUP\rb004.cab
C:\WINDOWS\SYSTEM\3222750.exe
C:\WINDOWS\SYSTEM\3265037.exe
C:\WINDOWS\SYSTEM\3268216.exe
C:\WINDOWS\SYSTEM\3279741.exe
C:\WINDOWS\SYSTEM\3292227.exe
C:\WINDOWS\SYSTEM\3309997.exe
C:\WINDOWS\SYSTEM\3357730.exe
C:\WINDOWS\SYSTEM\3369217.exe
C:\WINDOWS\SYSTEM\3381239.exe
C:\WINDOWS\SYSTEM\birdihuy.dll
C:\WINDOWS\SYSTEM\birdihuy32.dll
C:\WINDOWS\SYSTEM\intell32.exe
C:\WINDOWS\SYSTEM\kfsdfksldfk.fgi
C:\WINDOWS\SYSTEM\oleext.dll
C:\WINDOWS\SYSTEM\p2hhr.bat
C:\WINDOWS\SYSTEM\phhr.bat
C:\WINDOWS\SYSTEM\zlokdfs9.leo
C:\WINDOWS\SYSTEM\ztoolb011.dll
C:\WINDOWS\SYSTEM32\shdocnvt.dll
C:\WINDOWS\SYSTEM32\svcnvt.exe
C:\WINDOWS\xslfdl9x.bat
C:\WINDOWS\zsettings.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 19:55
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Sabina,

hier die postings:


Verzeichnis von C:\WINDOWS\system32

27.09.2005 18:14 3.284 ANIWZCS{BA0C91A0-D805-4598-80CB-A246D2C92A61}
23.09.2005 21:54 2.184 wpa.dbl
18.09.2005 01:08 53.248 pxhpinst.exe
16.09.2005 22:27 4.286 ptainfo2.ico
16.09.2005 22:27 4.286 ptainfo1.ico
15.09.2005 20:38 205.712 FNTCACHE.DAT
15.09.2005 19:47 512 ws073247.ocx
11.09.2005 18:09 105.472 pxcpyi64.exe
11.09.2005 18:09 55.296 pxcpya64.exe
11.09.2005 18:09 103.936 pxinsi64.exe
11.09.2005 18:09 53.248 pxinsa64.exe
11.09.2005 18:09 28.672 vxblock.dll
11.09.2005 18:09 368.640 pxdrv.dll
11.09.2005 18:09 307.200 pxwave.dll
11.09.2005 18:09 155.648 pxmas.dll
11.09.2005 18:09 495.616 px.dll
21.08.2005 20:39 16.832 amcompat.tlb
21.08.2005 20:39 23.392 nscompat.tlb
21.08.2005 20:39 2.272 w95inf16.dll
21.08.2005 20:39 4.608 w95inf32.dll
21.08.2005 10:04 86.016 pxwma.dll
13.07.2005 21:16 664 d3d9caps.dat


Verzeichnis von C:\DOKUME~1\DALIHA~1\LOKALE~1\Temp
(mehr war nicht)



Verzeichnis von C:\WINDOWS

27.09.2005 18:14 159 wiadebug.log
27.09.2005 18:14 50 wiaservc.log
27.09.2005 18:12 2.048 bootstat.dat
27.09.2005 13:17 32.560 SchedLgU.Txt
26.09.2005 19:16 99.970 UninstallFirefox.exe
26.09.2005 19:16 2.608 mozver.dat
21.09.2005 22:20 116 NeroDigital.ini
18.09.2005 02:16 34 cdplayer.ini
18.09.2005 02:11 460 mp3wavsolutions.INI
15.09.2005 20:31 74 Dpstw.sfq
12.07.2005 22:42 0 homeDVD-Filme4.INI
12.07.2005 22:32 316.640 WMSysPr9.prx


Verzeichnis von C:\

27.09.2005 18:36 0 sys.txt
27.09.2005 18:36 7.146 system.txt
27.09.2005 18:34 136 systemtemp.txt
27.09.2005 18:28 109.101 system32.txt
27.09.2005 18:12 805.306.368 pagefile.sys
11.10.2004 22:25 10.240 Thumbs.db
30.05.2004 11:00 0 AUTOEXEC.BAT
30.05.2004 11:00 0 CONFIG.SYS
30.05.2004 11:00 0 MSDOS.SYS
30.05.2004 11:00 0 IO.SYS
30.05.2004 10:50 194 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 224.032 ntldr
18.08.2001 14:00 45.124 NTDETECT.COM




smitRem log file
version 2.5

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! ;) Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~




REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 27.09.2005 19:46:47 for strings:
; 'worldantispy.com'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Log]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor\Actions]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor\Snapshot]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\checkboxes]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\flags]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\strings]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\textinputs]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Quarantine]

[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Scanner]

; End Of The Log...


Danke nochmal......
Seitenanfang Seitenende
27.09.2005, 20:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich kann es jetzt nicht durcharbeiten...keine Zeit, aber so in 4 Stunden antworte ich dir ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 23:00
...neu hier

Themenstarter

Beiträge: 6
#9 danke, wann immer du es dir einrichten kannst. ;-)
Seitenanfang Seitenende
28.09.2005, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.



Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Log]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor\Actions]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Monitor\Snapshot]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\ConnectionSettings\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\IEShield\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\PCShield\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Preferences\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Reports\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Scan\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\Update\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\UpdateOptions\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\checkboxes]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\flags]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\strings]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\options\WASOptions\textinputs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Quarantine]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com\Scanner]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

dann ueberpruefe, ob du ein Programm

WorldAntiSpy

auf dem Rechner findest, wenn ja, schreibe es mir und dann deinstalliere es.

suche auch:...mit der Suchfunktion von Windows (und berichte)
C:\WINDOWS\system32\PERFORMENT003.DLL
C:\WINDOWS\system32\ZOLKER010.DLL
C:\WINDOWS\system32\svcnv.exe
C:\WINDOWS\TEMP\pi.sys
C:\WINDOWS\flag.bla
C:\WINDOWS\desktop.html

poste mir das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

unter Downloaded Program Files
Macromedia Flash Player entfernen version 8.0.22.0

dann scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

--------------------------------------

Zitat

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\IT="-1127395968"»dWord«
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\No="1"»dWord«

MALWARE.PSGUARD
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3}
obj[1]=RegValue : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3} "IT"
obj[2]=RegValue : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3} "No"


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2005, 21:04
...neu hier

Themenstarter

Beiträge: 6
#11 Hallo Sabina,

hat leider ein wenig gedauert.

Ergebnisse:

Habe das Programm Worldantispy gefunden.
Könnte es nicht deinstallieren, habe es deshalb einfach vom System
gelöscht.

Einmal unter C:\Programme
und einmal unter Anwendungsdaten\skinux


weiter Suche:

c:\WINDOWS\system32\PERFORMENT003.DLL
-Datei wurde nicht gefunden-


c:\WINDOWS\system32\ZOLKER010.DLL
-Datei wurde nicht gefunden-


c:\WINDOWS\system32\svcnv.exe
-Datei wurde nicht gefunden-


c:\WINDOWS\TEMP\pi.sys
-Datei wurde nicht gefunden-


C:\WINDOWS\flag.bla
-Datei wurde nicht gefunden-

c:\WINDOWS\desktop.html
-Datei wurde nicht gefunden-



Log von Silentrunner:

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\Programme\Yahoo!\Messenger\ypager.exe -quiet" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"EN WLAN Utility" = "C:\Programme\WLAN Utility\WlanMon.exe" [empty string]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Ulead Quick-Drop" = ""C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL" [file not found]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ezShieldProtector for Px" = "C:\WINDOWS\System32\ezSP_Px.exe" ["Easy Systems Japan Ltd."]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 DragDrop Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Property Sheet Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\NokiaPhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\Components\PhoneBrowserComponents\ContactView.dll" ["Nokia"]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["WIDCOMM, Inc."]
"{DBD8E168-244D-448C-9922-25508950D1DC}" = "Ulead UDF Driver"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USIShex.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVirus 2005\ShellExt.dll" [empty string]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVirus 2005\ShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\D&GSCR~1.SCR" (D&G Screensaver.scr) [null data]


Startup items in "daliha" & "All Users" startup folders:
------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" ["WIDCOMM, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" ["WIDCOMM, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"HP Usg Daily" -> launches: "C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{CDC448CE-F7C2-407F-9EB5-0F71E8D8FBF4}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe" ["Yahoo! Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.freenet.de

Missing lines (compared with English-language version):
[Strings]: 1 line


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

AntiVirus Wächter, AVKWCtl, "C:\Programme\AntiVirus 2005\AVKWCtl.exe" [empty string]
AVK Service, AVKService, "C:\Programme\AntiVirus 2005\AVKService.exe" [empty string]
Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["WIDCOMM, Inc."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
Portable Media Seri*hier nicht!* Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mspmsnsv.dll" [MS]}
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 314 seconds, including 8 seconds for message boxes)




scanreport mit ewido:


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:01:52, 28.09.2005
+ Report-Checksumme: 83711988

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07} -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97} -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\RunMSC.Loader\CLSID\\ -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\RunMSC.Loader.1\CLSID\\ -> Spyware.SaveNow : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.43:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
:mozilla.44:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.47:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.50:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.61:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.74:C:\Dokumente und Einstellungen\daliha\Anwendungsdaten\Mozilla\Firefox\Profiles\482coc7x.default\cookies.txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\daliha\Cookies\daliha@adopt.euroclick[1].txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\daliha\Cookies\daliha@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\daliha\Cookies\daliha@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Programme\Yahoo!\Messenger\ycomp.dll -> Spyware.Yahoo : Gesäubert mit Backup


::Report Ende


danke und gruss

daliha
Seitenanfang Seitenende
28.09.2005, 23:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 - mache die WindowsUpdates (lade SP2) ..ich hoffe, du hast einen gueltige CDkey fuer XP....

- Lade:Microsoft Windows Antispy
http://virus-protect.org/ms.html

- escan (arbeite alles ab und poste, was angezeigt wird)
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: