Home » Spyware & Browser Hijacker Support Forum » Click.526, Windows Explorer stürzt ab, Spywarewarnung und Fehler bei Zeiger » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Click.526, Windows Explorer stürzt ab, Spywarewarnung und Fehler bei Zeiger

07.10.2005, 12:29

Hammerhai

...neu hier

Beiträge: 10

#1 Hi

Ich hab einige Probleme mit meinem PC. Ich hoffe ihr könnt mir helfen

1. Ich bekomme von meinem AntiVir Guard immer wieder die Meldung dass er einen Trojaner namens Click.526 gefunden hätte. Wenn ich dann auf Löschen klicke kommt die Meldung gleich nochmal. Dannach ist dann ne Weile Ruhe.

2. Mein Windows Explorer stürzt immer wieder ab. Ich muss ihn dann mit dem Taskmanager beenden.

3. Wenn ich im Internet bin oder war taucht rechts unten immer wieder ein gelber Ballon mit einer Sprechblase, in der steht:

Your computer might be at risk

-Your virus protection status is bad
-Spyware activity detected wurde.

Click this balloon to fix this problem

4. Außerdem kommt wenn ich im Internet bin oder war immer wieder eine fehlermeldung namens Windows Security Center auf, in der so was ähnliches wie in der gelben Sprechblase steht.

5. Und als letztes stimmt mein Mauszeiger manchmal nichtmehr. Ich glabe dass passiert manchmal wenn ich auf die leiste ganz oben im im fenster klick. Dann wird der Zeiger manchmal zu den 4 Pfeilen wie wenn ich ein fenster verschieben würde. Gerade ist es so dass der ganz normale Zeiger und die Sanduhr und alles stimmt und nur wenn ich hier im Textfeld bin wo eigentlich der senkrechte strich sein müsste werden die 4 Pfeile angezeigt. Da bin ich mir aber nicht sicher ob das ein Virus ist oder irgent ein Windows Fehler.

Hier ist mein HiJackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:00, on 07.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\AntivVir\AVPersonal\AVGUARD.EXE
C:\AntivVir\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\AntivVir\AVPersonal\AVSched32.EXE
C:\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\rundll32.exe
C:\Sicherheit\ZoneAlarm\zlclient.exe
C:\AntivVir\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Bildbearbeitung\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.arcor.de/dittmar.gehrlein/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: (no name) - {6AE268E0-7972-315B-4750-5EDD6DEA5465} - scanSYS.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HP Lamp] "C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVSCHED32] C:\AntivVir\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [cmon14] 34763.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Sicherheit\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\AntivVir\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Brennprogramme\Nero\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [sbin] vxdman.exe
O4 - HKCU\..\Run: [backd] WinInitDll.exe
O4 - HKCU\..\Run: [prgsys0984] PasswdMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Bildbearbeitung\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{00CA63FE-0FA5-4BDE-867C-FCB626EA81ED}: NameServer = 69.50.176.198 85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9EB2D0-5017-4A04-9579-B030BE38240B}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F64A76DF-AF22-4E2F-9840-AEBEC1F6F539}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{00CA63FE-0FA5-4BDE-867C-FCB626EA81ED}: NameServer = 69.50.176.198 85.255.112.12
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AntivVir\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AntivVir\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: hpdj - HP - C:\DOKUME~1\Dennis\LOKALE~1\Temp\hpdj.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Virenscanner hab ich AntiVir Xp, a², Ad-Aware und Spybot - Search & Destroy

Ich hoffe ihr könnt mir helfen.

Und bitte nicht so viel Downloads, da ich nur eine Modemverbindung hab

.

Bitte helft mir.
__________
Danke für die Hilfe

09.10.2005, 20:41

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Hammerhai

das ist eine verseuchung Wareout
bist du fit genug, um alles abzuarbeiten?

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {6AE268E0-7972-315B-4750-5EDD6DEA5465} - scanSYS.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [cmon14] 34763.exe
O4 - HKCU\..\Run: [sbin] vxdman.exe
O4 - HKCU\..\Run: [backd] WinInitDll.exe
O4 - HKCU\..\Run: [prgsys0984] PasswdMon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{00CA63FE-0FA5-4BDE-867C-FCB626EA81ED}: NameServer = 69.50.176.198 85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9EB2D0-5017-4A04-9579-B030BE38240B}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F64A76DF-AF22-4E2F-9840-AEBEC1F6F539}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{00CA63FE-0FA5-4BDE-867C-FCB626EA81ED}: NameServer = 69.50.176.198 85.255.112.12

PC neustarten

Winpfind
http://virus-protect.org/winpfind.html

Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
http://virus-protect.org/datfindbat.html

Silentrunners
http://virus-protect.org/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird.

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

10.10.2005, 14:58

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#3 Erstmal danke für die Hilfe!!

Ich hab alles gemacht wie beschrieben.

Die HijackThis Einträge sind gefixt

Hier den Log von Winpfind:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
FSG! 04.08.2005 10:51:10 705 C:\WINDOWS\SYSTEM32\ccfgmnt.exe
PEC2 18.08.2001 12:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 03.09.2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 03.09.2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
Umonitor 02.06.1999 01:01:12 331776 C:\WINDOWS\SYSTEM32\ipebase12.dll
Umonitor 18.08.2001 12:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
PEC2 14.09.2005 17:49:46 11776 C:\WINDOWS\SYSTEM32\spoolsrv32.exe
PECompact2 14.09.2005 17:49:46 11776 C:\WINDOWS\SYSTEM32\spoolsrv32.exe
winsync 18.08.2001 12:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
10.10.2005 14:03:40 S 2048 C:\WINDOWS\bootstat.dat
07.09.2005 15:04:18 H 54156 C:\WINDOWS\QTFont.qfn
07.10.2005 12:51:54 H 0 C:\WINDOWS\inf\oem29.inf
10.10.2005 14:04:42 H 31769 C:\WINDOWS\system32\vsconfig.xml
16.09.2005 16:20:46 H 4212 C:\WINDOWS\system32\zllictbl.dat
10.10.2005 14:16:22 H 1024 C:\WINDOWS\system32\config\default.LOG
10.10.2005 14:03:40 H 1024 C:\WINDOWS\system32\config\SAM.LOG
10.10.2005 14:05:52 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
10.10.2005 14:12:28 H 1024 C:\WINDOWS\system32\config\software.LOG
10.10.2005 14:10:32 H 1024 C:\WINDOWS\system32\config\system.LOG
07.10.2005 12:52:12 RHS 13695 C:\WINDOWS\system32\Restore\filelist.xml
10.10.2005 14:03:42 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 12:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 18.08.2001 12:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 18.08.2001 12:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 12:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 18.08.2001 12:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 18.08.2001 12:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 03:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl
The LEGO Group 27.04.2001 11:17:38 53248 C:\WINDOWS\SYSTEM32\LTower.cpl
Microsoft Corporation 18.08.2001 12:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 12:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 12:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 12:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 24.03.2004 10:04:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 12:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Sun Microsystems 03.11.2000 09:31:02 24671 C:\WINDOWS\SYSTEM32\plugincpl130_01.cpl
Microsoft Corporation 18.08.2001 12:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 06.05.2001 21:10:14 288768 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 18.08.2001 12:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 12:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 12:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 12:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 12:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 18.08.2001 12:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 18.08.2001 12:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 18.08.2001 12:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 18.08.2001 12:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 03:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 12:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 12:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 12:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 12:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 12:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 12:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 12:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 18.08.2001 12:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 18.08.2001 12:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 12:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
23.05.2004 18:04:12 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
23.05.2004 18:48:12 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
23.05.2004 18:04:12 HS 84 C:\Dokumente und Einstellungen\Dennis\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
23.05.2004 18:48:12 HS 62 C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\desktop.ini
30.06.2005 16:20:52 36320 C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\GDIPFONTCACHEV1.DAT
23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
Arcor 5.002 = IEAK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\AntivVir\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\a2ContMenu
{AB77609F-2178-4E6F-9C4B-44AC179D937A} = C:\AntivVir\A2FREE~1\A2CONT~1.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\AntivVir\AVPersonal\AVShlExt.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\SICHER~1\SPYBOT~1\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9394EDE7-C8B5-483E-8773-474BF36AF6E4}
ST = C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar1.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
MSNToolBandBHO = C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = MSN : C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\MSMSGS.EXE

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = MSN : C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HP Lamp "C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
HP Software Update C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
HPDJ Taskbar Utility C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
DeviceDiscovery C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
CamMonitor C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
Share-to-Web Namespace Daemon C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
AVSCHED32 C:\AntivVir\AVPersonal\AVSched32.EXE /min
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
RemoteControl C:\PowerDVD\PDVDServ.exe
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
Zone Labs Client C:\Sicherheit\ZoneAlarm\zlclient.exe
AVGCtrl C:\AntivVir\AVPersonal\AVGNT.EXE /min
AVGCtrl C:\AntivVir\AVPersonal\AVGNT.EXE /min
AVGCtrl C:\AntivVir\AVPersonal\AVGNT.EXE /min

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
SpybotSD TeaTimer C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
Key WI?
«§DÍ:;û*
Hint SSR
FileName0 C:\WINDOWS\System32\RSACi.rat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default
Allow_Unknowns 0
PleaseMom 1
Enabled 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default\http://www.rsac.org/ratingsv01.html
v 0
s 3
n 0
l 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\PICSRules

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\PICSRules\.Default

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 149
NoActiveDesktopChanges 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
NoDispBackgroundPage 0
NoDispAppearancePage 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 10.10.2005 14:16:51

Die Logfiles von datFind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 145D-33EA

Verzeichnis von C:\WINDOWS\system32

10.10.2005 14:04 31.769 vsconfig.xml
10.10.2005 14:03 3.725 nvapps.xml
09.10.2005 18:34 2.400 wpa.dbl
02.10.2005 14:42 126.788 AdobeFnt.lst
01.10.2005 12:47 327.400 FNTCACHE.DAT
23.09.2005 16:49 43.520 CmdLineExt03.dll
16.09.2005 16:20 4.212 zllictbl.dat
14.09.2005 17:49 11.776 spoolsrv32.exe
29.08.2005 19:09 71.424 zlcommdb.dll
29.08.2005 19:09 79.616 zlcomm.dll
29.08.2005 19:09 100.096 vsxml.dll
29.08.2005 19:09 382.720 vsutil.dll
29.08.2005 19:09 71.424 vsregexp.dll
29.08.2005 19:08 227.072 vspubapi.dll
29.08.2005 19:08 104.192 vsmonapi.dll
29.08.2005 19:08 141.056 vsinit.dll
29.08.2005 19:08 368.256 vsdatant.sys
29.08.2005 19:08 83.712 vsdata.dll
29.08.2005 18:52 54.960 vsutil_loc0407.dll
04.08.2005 10:51 705 ccfgmnt.exe
12.07.2005 15:03 99.678 wp.bmp
26.06.2005 02:56 21.840 SIntfNT.dll
26.06.2005 02:56 17.212 SIntf32.dll
26.06.2005 02:56 12.067 SIntf16.dll
26.05.2005 04:19 178.408 muweb.dll
26.05.2005 04:19 173.536 wuweb.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 174.872 wuaucpl.cpl
27.03.2005 10:07 39.992 perfc009.dat
27.03.2005 10:07 311.604 perfh009.dat
27.03.2005 10:07 316.594 perfh007.dat
27.03.2005 10:07 48.156 perfc007.dat
27.03.2005 10:07 723.744 PerfStringBackup.INI
12.02.2005 19:15 130 Log.inf
12.02.2005 19:15 65.536 DVDKeyAuth.dll
12.02.2005 17:16 53.248 GEARSEC.EXE
12.02.2005 17:16 69.632 GEARASPI.DLL
19.01.2005 19:40 16.832 amcompat.tlb
19.01.2005 19:40 23.392 nscompat.tlb

[...]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 145D-33EA

Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp

10.10.2005 14:06 16.384 ~DF4BF.tmp
10.10.2005 14:05 512 ~DFA967.tmp
10.10.2005 14:05 16.384 ~DF9F74.tmp
10.10.2005 14:04 0 hpotdd543.log
10.10.2005 14:02 135 hpotdd542.log
10.10.2005 13:56 16.384 ~DFBF73.tmp
10.10.2005 13:56 16.384 ~DF9806.tmp
10.10.2005 06:44 135 hpotdd541.log
10.10.2005 06:44 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25124.html
10.10.2005 06:41 16.384 ~DFEFD.tmp
10.10.2005 06:41 16.384 ~DFAA29.tmp
09.10.2005 21:37 135 hpotdd540.log
09.10.2005 21:37 16.384 ~DF1945.tmp
09.10.2005 21:36 16.384 ~DFFF3B.tmp
09.10.2005 19:22 135 hpotdd539.log
09.10.2005 18:59 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7654.html
09.10.2005 18:37 16.384 ~DF6411.tmp
09.10.2005 18:37 16.384 ~DFCCF.tmp
08.10.2005 09:27 135 hpotdd538.log
08.10.2005 09:24 16.384 ~DF1CF5.tmp
08.10.2005 09:24 16.384 ~DFC20.tmp
08.10.2005 09:20 135 hpotdd537.log
07.10.2005 18:42 135 hpotdd536.log
07.10.2005 15:15 1.246.796 VGX19.tmp
07.10.2005 13:36 16.384 ~DFE7CE.tmp
07.10.2005 13:35 16.384 ~DF8CF9.tmp
07.10.2005 13:28 135 hpotdd535.log
07.10.2005 11:51 16.384 ~DF61FB.tmp
07.10.2005 11:51 16.384 ~DF24D9.tmp
06.10.2005 16:15 135 hpotdd534.log
06.10.2005 13:57 16.384 ~DFA94C.tmp
06.10.2005 13:57 16.384 ~DF9794.tmp
06.10.2005 13:24 135 hpotdd533.log
06.10.2005 13:22 0 h2r8.tmp
06.10.2005 13:22 608 r2h6.tmp
06.10.2005 13:15 16.384 ~DF942C.tmp
06.10.2005 13:15 16.384 ~DF8437.tmp
05.10.2005 19:29 135 hpotdd532.log
05.10.2005 17:30 16.384 ~DFB3E9.tmp
05.10.2005 17:29 16.384 ~DF6947.tmp
05.10.2005 15:22 135 hpotdd531.log
05.10.2005 13:52 16.384 ~DF7417.tmp
05.10.2005 13:52 16.384 ~DFF0E2.tmp
04.10.2005 21:41 135 hpotdd530.log
04.10.2005 15:38 135 hpotdd529.log
04.10.2005 14:00 16.384 ~DFAE17.tmp
04.10.2005 14:00 16.384 ~DF64F0.tmp
04.10.2005 13:56 135 hpotdd528.log
03.10.2005 22:29 136 hpotdd527.log
02.10.2005 20:36 136 hpotdd526.log
02.10.2005 17:25 136 hpotdd525.log
02.10.2005 14:46 1.662 TWAIN.LOG
02.10.2005 14:46 3 Twain001.Mtx
02.10.2005 14:46 156 Twunk001.MTX
02.10.2005 13:18 136 hpotdd524.log
02.10.2005 08:05 16.384 ~DF5D92.tmp
02.10.2005 08:05 16.384 ~DF1A8E.tmp
01.10.2005 19:48 135 hpotdd523.log
01.10.2005 18:42 16.384 ~DF8A5.tmp
01.10.2005 18:42 512 ~DFD03B.tmp
01.10.2005 18:42 16.384 ~DFD020.tmp
01.10.2005 18:39 136 hpotdd522.log
01.10.2005 17:29 136 hpotdd521.log
01.10.2005 13:02 16.384 ~DFA63B.tmp
01.10.2005 13:02 16.384 ~DF8BB8.tmp

[...]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 145D-33EA

Verzeichnis von C:\WINDOWS

10.10.2005 14:24 6.902 ModemLog_MicroLink 56k Fun II.txt
10.10.2005 14:04 0 0.log
10.10.2005 14:04 59.508 WindowsUpdate.log
10.10.2005 14:03 159 wiadebug.log
10.10.2005 14:03 50 wiaservc.log
10.10.2005 14:03 2.048 bootstat.dat
10.10.2005 14:02 32.608 SchedLgU.Txt
10.10.2005 06:41 6.400 balloon.wav
07.10.2005 22:43 1.209.530 ntbtlog.txt
07.10.2005 13:11 17.630 comsetup.log
07.10.2005 13:11 1.686 iis6.log
07.10.2005 13:11 8.960 ntdtcsetup.log
07.10.2005 13:11 10.663 tsoc.log
07.10.2005 13:11 1.374 imsins.log
07.10.2005 13:11 5.862 KB842773.log
07.10.2005 13:11 1.277 ocmsn.log
07.10.2005 13:11 15.297 ocgen.log
07.10.2005 13:11 1.124 msgsocm.log
07.10.2005 13:11 17.719 FaxSetup.log
07.10.2005 13:10 830.895 setupapi.log
07.10.2005 13:10 176.705 setupact.log
05.10.2005 13:53 790 win.ini
03.10.2005 15:47 721 ulead32.ini
30.09.2005 16:32 1.080 AUTOLNCH.REG
12.09.2005 14:33 335 nsreg.dat
12.09.2005 14:32 78.992 N6Uninst.exe
12.09.2005 14:32 9.322 mozver.dat
07.09.2005 15:04 1.409 QTFont.for
07.09.2005 15:04 54.156 QTFont.qfn
14.08.2005 13:08 316.640 WMSysPr9.prx
26.07.2005 19:13 1.436 Active Setup Log.txt
20.07.2005 15:33 1.294 wininit.ini
19.07.2005 16:39 1.244 wininit.tmp
17.07.2005 17:58 499 SIERRA.INI
12.07.2005 20:30 116 NeroDigital.ini
11.07.2005 17:51 45.785 wmsetup.log
18.06.2005 16:40 67 adobereg.db
18.06.2005 16:38 114 kpcms.ini
15.05.2005 17:17 872 Sti_Trace.log
29.04.2005 16:53 144 Eudcedit.ini
08.04.2005 17:03 92.816 DirectX.log
02.04.2005 13:24 665 nsw.log
30.03.2005 12:52 6 WS_FTP.EXT
30.03.2005 12:52 0 WS_FTP.CNV
21.03.2005 14:29 2.359.350 1024_escalade.BMP
20.03.2005 16:46 1.406 disney.ini
27.02.2005 15:18 20 HP PrecisionScan Pro.INI
26.02.2005 18:15 37 disney.old
16.02.2005 16:51 132.096 combatfs.exe
12.02.2005 19:15 213.054 GSetup.exe
06.02.2005 13:45 1.544 Windows Update.log

[...]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 145D-33EA

Verzeichnis von C:\

10.10.2005 14:25 0 sys.txt
10.10.2005 14:25 7.708 system.txt
10.10.2005 14:24 406.080 systemtemp.txt
10.10.2005 14:21 98.338 system32.txt
10.10.2005 14:03 267.964.416 hiberfil.sys
10.10.2005 14:03 402.653.184 pagefile.sys
09.10.2005 18:53 75.389 hpfr3600.log
09.08.2005 20:13 0 FileOut.Cns
09.08.2005 20:13 0 FileIn.Cns
10.05.2005 18:38 1.030 QZCOPS.LOG
18.11.2004 22:38 1.120 INSTALL.LOG
05.10.2004 21:46 152 Debug.log
12.09.2004 13:07 7.402 LGSInst.Log
13.06.2004 16:21 10.240 Thumbs.db
23.05.2004 18:04 0 MSDOS.SYS
23.05.2004 18:04 0 CONFIG.SYS
23.05.2004 18:04 0 IO.SYS
23.05.2004 18:04 0 AUTOEXEC.BAT
23.05.2004 17:57 194 boot.ini
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 45.124 NTDETECT.COM
18.08.2001 12:00 224.032 ntldr
24.05.2001 13:59 162.304 UNWISE.EXE
23 Datei(en) 671.661.665 Bytes
0 Verzeichnis(se), 15.789.420.544 Bytes frei

Der Log von Silent Runners:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HP Lamp" = ""C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"" [null data]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"CamMonitor" = "C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe" [empty string]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVSCHED32" = "C:\AntivVir\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = "C:\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"hclean32.exe" = "C:\WINDOWS\System32\hclean32.exe" [null data]
"dmfiw.exe" = "C:\WINDOWS\System32\dmfiw.exe" [file not found]
"Zone Labs Client" = "C:\Sicherheit\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"AVGCtrl" = "C:\AntivVir\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\SICHER~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Microsoft\Microsoft Word\Office10\msohev.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\AntivVir\A2FREE~1\A2CONT~1.DLL" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csogw.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\AntivVir\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\AntivVir\A2FREE~1\A2CONT~1.DLL" [null data]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\AntivVir\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\UPSCR.Scr" [null data]

Enabled Scheduled Tasks:
------------------------

"Windows Media Player" -> launches: "C:\PROGRA~1\WINDOW~3\wmplayer.exe /prefetch:1" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\AntivVir\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\AntivVir\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 243 seconds, including 18 seconds for message boxes)

Und als letztes die Ergebnisse von f-secure-Beta Trial

10/10/05 14:43:01 [Info]: BlackLight Engine 1.0.23 initialized
10/10/05 14:43:01 [Info]: OS: 5.1 build 2600 ()
10/10/05 14:43:01 [Note]: 4019 4
10/10/05 14:43:01 [Note]: 4005 0
10/10/05 14:43:12 [Note]: 4006 0
10/10/05 14:43:12 [Note]: 4011 1884
10/10/05 14:43:13 [Note]: FSRAW library version 1.7.1011
10/10/05 14:44:01 [Info]: Hidden file: C:\Programme\Hewlett-Packard\Digital Imaging\bin\DestTest.exe
10/10/05 14:44:02 [Note]: 10002 1
10/10/05 14:44:21 [Info]: Hidden file: C:\PowerDVD\cltest.exe
10/10/05 14:44:21 [Note]: 10002 1
10/10/05 14:46:16 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
10/10/05 14:46:16 [Note]: 10002 1
10/10/05 14:46:58 [Info]: Hidden file: C:\WINDOWS\system32\loadctr32.exe
10/10/05 14:46:59 [Note]: 10002 1
10/10/05 14:47:17 [Info]: Hidden file: C:\WINDOWS\system32\hclean32.exe
10/10/05 14:47:25 [Note]: 10002 1
10/10/05 14:47:40 [Info]: Hidden file: C:\WINDOWS\system32\hgqhp.exe
10/10/05 14:47:46 [Note]: 4002 5
10/10/05 14:47:46 [Note]: 4003 1
10/10/05 14:47:46 [Note]: 10002 1
10/10/05 14:48:04 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
10/10/05 14:48:05 [Note]: 10002 1
10/10/05 14:48:27 [Info]: Hidden file: C:\WINDOWS\system32\csogw.exe
10/10/05 14:48:27 [Note]: 4002 32
10/10/05 14:48:27 [Note]: 4003 1
10/10/05 14:48:27 [Note]: 10002 1
10/10/05 14:50:46 [Note]: 4007 0
__________
Danke für die Hilfe

10.10.2005, 15:47

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hammerhai

http://virus-protect.org/temp.html
CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

------------------------------------------------------------------------
Gehe in die Registry

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
loeschen:
Key WI?
«§DÍ:;û*
Hint SSR

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
"dmfiw.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\ccfgmnt.exe
C:\WINDOWS\system32\csogw.exe
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\system32\hgqhp.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\System32\dmfiw.exe
C:\WINDOWS\SYSTEM32\spoolsrv32.exe
C:\WINDOWS\balloon.wav

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und sofort wieder neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

regedit /e Info.txt
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings"

- Speichern als: Testen.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Testen.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )

---------------------------------------------------------------------------------

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

Onlinescan kaspersky (poste den Scanreport)
http://virus-protect.org/onlinescan.html
+

Zitat

Reset your DNS Servers - best sollution would be to fix them with hijackthis and then reset them

In the windows control panel. If you are using Windows XP's Category View, select the Network and Internet Connections category otherwise double click on Network Connections. Then right click on your default connection, usually local area connection for cable and dsl, and left click on properties. Click the Networking tab. Double-click on the Internet Protocol (TCP/IP) item and select the radio dial that says Obtain DNS servers automatically
Press OK twice to get out of the properties screen and reboot if it asks.

das neue Log vom Hijackthis

--------------------------------------------------------------------------------------

Zitat

C:\WINDOWS\SYSTEM32\spoolsrv32.exe
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html

__________
MfG Sabina

rund um die PC-Sicherheit

10.10.2005, 17:20

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#5 Temp-Dateien sind mit CCleaner gelöscht

___________________________________________________

Unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

hab ich nur

(Standard) | REG_SZ | (Wert nicht gesetzt)
FileName0 | REG_SZ | C:\WINDOWS\System32\RSACi.rat
Hint | REG_SZ | SSR
Key | REG_SZ | 57 49 usw.

welche soll ich da löschen?

___________________________________________________

Hab fixme.reg gespeichert

___________________________________________________

Hab die Dateien mit Killbox gelöscht

___________________________________________________

Hab fixme im abgesicherten Modus ausgeführt

___________________________________________________

Hab hoster ausgeführt

___________________________________________________

Soll ich den Text von Testen.bat wirklich hier rein kopieren? Das sind 68,1MB !!

___________________________________________________

Download von ewido läuft noch 20 min

___________________________________________________

Was ist mit den Zitaten? Soll ich das erste machen und bin ich mit dem 2. infiziert?
__________
Danke für die Hilfe

Dieser Beitrag wurde am 10.10.2005 um 17:32 Uhr von Hammerhai editiert.

11.10.2005, 01:12

Sabina

Ehrenmitglied

Beiträge: 29434

#6 alle zwei Zitate haben mit deinem PC zu tun.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
loeschen:
Key WI?
«§DÍ:;û*
Hint SSR

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

Onlinescan kaspersky (poste den Scanreport)
http://virus-protect.org/onlinescan.html
+
das neue Log vom HijackThsi...dann sehen wir weiter

__________
MfG Sabina

rund um die PC-Sicherheit

11.10.2005, 08:05

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#7 Hint SSR hab ich gelöscht, die anderen 2 hab ich nicht s.o.

______________________________________________

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:13:17, 10.10.2005
+ Report-Checksumme: 607662A3

+ Scanergebnis:

C:\WINDOWS\system32\csfyh.exe -> TrojanDropper.Vidro.p : Gesäubert mit Backup

::Report Ende
__________
Danke für die Hilfe

11.10.2005, 11:00

Sabina

Ehrenmitglied

Beiträge: 29434

#8 gut, dann mache noch den scan mit Kaspersky und poste das neue Log vom HijackThis, bitte

+ winpfind
__________
MfG Sabina

rund um die PC-Sicherheit

12.10.2005, 14:33

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#9 Ich musste leider gestern weg und hab den scan deshalb abgebrochen. Ich mach ihn gerade nochmal

hier ist erstmal der unvolstandige scan.

soll ich die Dateien löschen lassen?

Wärend dem scan hat AntiVir Guard am ende dauernt gemeldet

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F12C9BD7-F046-401B-AFBE-5DD49916611B}\RP101\A0257940.EXE

Ist das Trojanische Pferd TR/DNSChanger.R

wenn ich auf löschen geklickt hab kam die gleiche meldung mit einem leicht veränderte filename

Die meldungen kamen übrigens als kaspersky die _restore{... dateien gescannt hat

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, October 11, 2005 15:41:53
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 11/10/2005
Kaspersky Anti-Virus database records: 144145
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 72556
Number of viruses found: 2
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 3485 sec

Infected Object Name - Virus Name
C:\AntivVir\AVPersonal\INFECTED\WININET.DLL.VIR Infected: Virus.Win32.Nsag.a
C:\System Volume Information\_restore{F12C9BD7-F046-401B-AFBE-5DD49916611B}\RP80\A0223719.EXE.VIR Infected: Trojan-Dropper.Win32.Vidro.p
C:\System Volume Information\_restore{F12C9BD7-F046-401B-AFBE-5DD49916611B}\RP81\A0226929.EXE.VIR Infected: Trojan-Dropper.Win32.Vidro.p

Scan was interrupted by user!
__________
Danke für die Hilfe

Dieser Beitrag wurde am 12.10.2005 um 14:43 Uhr von Hammerhai editiert.

12.10.2005, 14:58

Sabina

Ehrenmitglied

Beiträge: 29434

#10 smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann scanne noch mal komplett mit kaspersky...von beginn an

__________
MfG Sabina

rund um die PC-Sicherheit

12.10.2005, 15:31

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#11 smitRem hab ich laufen lassen

Kann ich alles was kaspersky findet löschen?
__________
Danke für die Hilfe

12.10.2005, 16:40

Sabina

Ehrenmitglied

Beiträge: 29434

#12 wo ist das Log von smitRem?
__________
MfG Sabina

rund um die PC-Sicherheit

12.10.2005, 17:33

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#13 1.Hab gepennt. Ich hab smitRem nur entpackt. sorry

Wie siht man wann der scan beendet ist? Ich hab den PC neu gestartet als es aussah als würde nichtsmehr laufen (der desktophintergrund war noch blau).
Danach waren dann alle designs weg.
Bringt er ne meldung wenn er fertig ist?

Bis jetzt hab ich den also noch nicht gemacht

2. Der Log von kaspersky:

Den hab ich wol versehendlich als html gespeichert. Ich hab ihn hier hochgeladen.
Hoffe das reicht

Der Virus ist der hier: http://www.viruslist.com/en/viruses/encyclopedia?virusid=84462
Ich hatte die blaue "security warning"

3.Ich hab mal wieder HijackThis laufenlassen

Logfile of HijackThis v1.99.1
Scan saved at 17:16:04, on 12.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AntivVir\AVPersonal\AVGUARD.EXE
C:\AntivVir\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\AntivVir\AVPersonal\AVSched32.EXE
C:\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Sicherheit\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\rundll32.exe
C:\AntivVir\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.arcor.de/dittmar.gehrlein/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HP Lamp] "C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVSCHED32] C:\AntivVir\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Sicherheit\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\AntivVir\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128681454586
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128683204086
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AntivVir\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AntivVir\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Dennis\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[/url]
__________
Danke für die Hilfe

12.10.2005, 20:41

Sabina

Ehrenmitglied

Beiträge: 29434

#14 öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und den Namen angeben --> hpdj

O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Dennis\LOKALE~1\Temp\hpdj.exe (file missing)

PC neustarten

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:

hpdj

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
__________
MfG Sabina

rund um die PC-Sicherheit

13.10.2005, 16:09

Hammerhai

...neu hier

Themenstarter

Beiträge: 10

#15 Das log von smithfiles:
Ich hoffe es ist vollstandig weil ich keine Meldung bekommen hab das der scan beendet ist:

smitRem log file
version 2.6

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

________________________________________________________________

Wen ich versuche hpdj zu löschen kommt die meldung:

The service 'hpdj' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the Services.msc window.

hpdj steht wahrscheinlich für HP deskjet und das ist mein Drucker

Ich hoffe ich hab jezt nichts kaput gemacht:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "hpdj" 13.10.2005 16:19:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\dugout\deu\3600\macros]
"TOOLBOXPATH"="software\\Hewlett-Packard\\hpdj printing system config\\hp deskjet 3600 series"

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\dugout\deu\3600\macros]
"JUMPSERVER"="hpdjjs.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config]

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config]
"HPDJEnableTaskbarUtility"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJPPUITabs"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnablePPMombiServicesTab"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnablePrintPreviewer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnablePrinterServices"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnableStatusClient"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnableStatusServer"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnableHPIO"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJPrinterServicesOneTab"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]
"HPDJEnableStatusWindow"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\TH38K110TZ6B]

[HKEY_LOCAL_MACHINE\SOFTWARE\Hewlett-Packard\HPZ\Glue\hp deskjet 3600 series]
"GlueName"="hpdj.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb08.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\hp deskjet 3600 series\PrinterDriverData]
"HPDJPenNumber"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HPDJ]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HPDJ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HPDJ\0000]
"Service"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HPDJ\0000]
"DeviceDesc"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hpdj]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hpdj]
"DisplayName"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hpdj\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hpdj\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Printers\hp deskjet 3600 series\PrinterDriverData]
"HPDJPenNumber"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HPDJ]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HPDJ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HPDJ\0000]
"Service"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HPDJ\0000]
"DeviceDesc"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj]
"DisplayName"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hpdj\Enum]
"0"="Root\\LEGACY_HPDJ\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HPDJ]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HPDJ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HPDJ\0000]
"Service"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HPDJ\0000]
"DeviceDesc"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hpdj]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hpdj]
"DisplayName"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hpdj\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hpdj\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\hp deskjet 3600 series\PrinterDriverData]
"HPDJPenNumber"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HPDJ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HPDJ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HPDJ\0000]
"Service"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HPDJ\0000]
"DeviceDesc"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj]
"DisplayName"="hpdj"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdj\Enum]
"0"="Root\\LEGACY_HPDJ\\0000"

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\CustomPaper]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\2 Seiten auf einem Blatt]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Entwurfstext oder Text mit Farbdruck]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Foto 10 x 15 cm mit weißem Rand]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Foto A4 mit weißem Rand]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Professioneller Fotodruck]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Professioneller Text oder Text mit Farbdruck]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Randloses Foto 10 x 15 cm mit Abreißstreifen]

[HKEY_USERS\S-1-5-21-1229272821-507921405-1343024091-1004\Software\Hewlett-Packard\HPDJ Printing System Config\hp deskjet 3600 series\Quicksets\Standard-Druckeinstellungen]

.
__________
Danke für die Hilfe

Dieser Beitrag wurde am 13.10.2005 um 16:22 Uhr von Hammerhai editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
» Fehler beim Windows Explorer? Spyware?
»
»

Seite(n): 1 2