click.526, qhost.qr, vidro.u+ your computer might be at risk

#16 janno74

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html

kopiere das Log von WinPfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina!

Habe alles gemacht und hier die Log-files reinkopiert.
Wäre super,wenn du mir helfen könntest.

Vielen Dank und bis denn.

Hier das datfind-Log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A46C-7764

Verzeichnis von C:\WINDOWS\system32

20.11.2005 16:24 29.204 nvapps.xml
19.11.2005 13:19 4.608 bndmod.exe
19.11.2005 13:19 2.048 hwiper.exe
13.11.2005 15:01 2.206 wpa.dbl
30.10.2005 07:21 40.128 perfc009.dat
30.10.2005 07:21 311.740 perfh009.dat
30.10.2005 07:21 316.924 perfh007.dat
30.10.2005 07:21 48.354 perfc007.dat
30.10.2005 07:21 723.744 PerfStringBackup.INI
14.10.2005 00:53 27.649 iskmt.exe
09.10.2005 13:41 302.621 SetupCarnival.exe
09.10.2005 13:39 45.568 hlmicro.exe
09.10.2005 13:38 51.200 cscva.exe
17.09.2005 07:39 111.784 FNTCACHE.DAT
26.07.2005 13:22 0 h323log.txt
26.07.2005 12:31 261 $winnt$.inf
26.07.2005 12:28 2.951 CONFIG.NT
26.07.2005 12:28 16.832 amcompat.tlb
26.07.2005 12:28 23.392 nscompat.tlb
26.07.2005 12:27 488 logonui.exe.manifest
26.07.2005 12:27 488 WindowsLogon.manifest
26.07.2005 12:26 749 nwc.cpl.manifest
26.07.2005 12:26 749 ncpa.cpl.manifest
26.07.2005 12:26 749 wuaucpl.cpl.manifest
26.07.2005 12:26 749 cdplayer.exe.manifest
26.07.2005 12:26 749 sapi.cpl.manifest
26.07.2005 12:24 21.740 emptyregdb.dat
20.07.2005 20:07 1.466.368 nview.dll
20.07.2005 20:07 86.016 nvmctray.dll
20.07.2005 20:07 540.672 nvhwvid.dll
20.07.2005 20:07 1.339.392 nvdspsch.exe
20.07.2005 20:07 14.757 nvdisp.nvu
20.07.2005 20:07 466.944 nvshell.dll
20.07.2005 20:07 127.043 nvsvc32.exe
20.07.2005 20:07 73.728 nvtuicpl.cpl
20.07.2005 20:07 176.128 nvudisp.exe
20.07.2005 20:07 81.920 nvwddi.dll
20.07.2005 20:07 1.662.976 nvwdmcpl.dll
20.07.2005 20:07 1.019.904 nvwimg.dll
20.07.2005 20:07 7.110.656 nvcpl.dll
20.07.2005 20:07 1.519.616 nwiz.exe
20.07.2005 20:07 147.456 nvcolor.exe
20.07.2005 20:07 32.768 nvcodins.dll
20.07.2005 20:07 32.768 nvcod.dll
20.07.2005 20:07 393.216 keystone.exe
20.07.2005 20:07 3.908.864 nv4_disp.dll
20.07.2005 20:07 5.140.480 nvoglnt.dll
20.07.2005 20:07 442.368 nvappbar.exe
20.07.2005 20:07 286.720 nvnt4cpl.dll
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
04.08.2004 01:12 1.788 Dcache.bin
04.08.2004 01:10 299.008 msh263.drv




Und hier das WinPFind-Log:


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 09.10.2005 13:40:00 45568 C:\WINDOWS\SYSTEM32\hlmicro.exe
aspack 04.08.2004 00:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 00:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 09.10.2005 13:41:02 302621 C:\WINDOWS\SYSTEM32\SetupCarnival.exe
winsync 18.08.2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
20.11.2005 16:23:32 S 2048 C:\WINDOWS\bootstat.dat
20.11.2005 16:24:38 H 1024 C:\WINDOWS\system32\config\default.LOG
20.11.2005 16:24:48 H 1024 C:\WINDOWS\system32\config\SAM.LOG
20.11.2005 16:33:38 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
20.11.2005 16:38:54 H 1024 C:\WINDOWS\system32\config\software.LOG
20.11.2005 16:30:04 H 1024 C:\WINDOWS\system32\config\system.LOG
25.10.2005 08:18:16 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\b0bbbda3-6d97-4455-900e-b4b2fbbe9514
25.10.2005 08:18:16 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
20.11.2005 16:23:32 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 00:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 00:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 00:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 00:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 00:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 00:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 00:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 00:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 20.07.2005 20:07:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 00:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 00:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 00:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 00:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 00:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 00:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 04.08.2004 00:58:24 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 04.08.2004 00:58:24 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 04.08.2004 00:58:24 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 04.08.2004 00:58:24 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 04.08.2004 00:58:24 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 04.08.2004 00:58:24 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 04.08.2004 00:58:24 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 04.08.2004 00:58:24 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 04.08.2004 00:58:24 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 04.08.2004 00:58:24 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 04.08.2004 00:58:24 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 04.08.2004 00:58:24 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 04.08.2004 00:58:24 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 04.08.2004 00:58:24 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 04.08.2004 00:58:24 162816 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
15.08.2005 11:58:46 736 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
16.08.2005 14:26:46 1737 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
26.07.2005 13:24:28 515 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
26.07.2005 12:28:32 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
27.07.2005 12:26:36 1580 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
26.07.2005 13:15:26 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
26.07.2005 12:28:32 HS 84 C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\desktop.ini
26.07.2005 13:50:00 707 C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\SmartSurfer.lnk

Checking files in %USERPROFILE%\Application Data folder...
18.08.2005 10:01:40 814 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\AdobeDLM.log
26.07.2005 13:15:26 HS 62 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\desktop.ini
16.08.2005 13:59:10 763 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\dm.ini
24.08.2005 11:06:58 17536 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = D:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= D:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
routcnf D:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
AVGCtrl "D:\Programme\AVPersonal\AVGNT.EXE" /min
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
CloneCDElbyCDFL "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
CloneCDTray "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
WinampAgent D:\Programme\Winamp\winampa.exe
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
LWBMOUSE D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
RegistryMechanic

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System = cscva.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 20.11.2005 16:41:40

#18

Zitat

kopiere hier die 4 Logs!!!!!!!!!
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#19 O.K.

Nächster Versuch. Sorry, habe das nicht gleich mitgeschnitten.

Hier die fehlenden Logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A46C-7764

Verzeichnis von C:\WINDOWS\system32

20.11.2005 16:24 29.204 nvapps.xml
13.11.2005 15:01 2.206 wpa.dbl
30.10.2005 07:21 311.740 perfh009.dat
30.10.2005 07:21 40.128 perfc009.dat
30.10.2005 07:21 316.924 perfh007.dat
30.10.2005 07:21 48.354 perfc007.dat
30.10.2005 07:21 723.744 PerfStringBackup.INI
14.10.2005 00:53 27.649 iskmt.exe
09.10.2005 13:41 302.621 SetupCarnival.exe
09.10.2005 13:39 45.568 hlmicro.exe
09.10.2005 13:38 51.200 cscva.exe
17.09.2005 07:39 111.784 FNTCACHE.DAT
26.07.2005 13:22 0 h323log.txt
26.07.2005 12:31 261 $winnt$.inf
26.07.2005 12:28 2.951 CONFIG.NT
26.07.2005 12:28 16.832 amcompat.tlb
26.07.2005 12:28 23.392 nscompat.tlb
26.07.2005 12:27 488 logonui.exe.manifest
26.07.2005 12:27 488 WindowsLogon.manifest
26.07.2005 12:26 749 ncpa.cpl.manifest
26.07.2005 12:26 749 cdplayer.exe.manifest
26.07.2005 12:26 749 wuaucpl.cpl.manifest
26.07.2005 12:26 749 sapi.cpl.manifest
26.07.2005 12:26 749 nwc.cpl.manifest
26.07.2005 12:24 21.740 emptyregdb.dat
20.07.2005 20:07 466.944 nvshell.dll
20.07.2005 20:07 5.140.480 nvoglnt.dll
20.07.2005 20:07 286.720 nvnt4cpl.dll
20.07.2005 20:07 86.016 nvmctray.dll
20.07.2005 20:07 127.043 nvsvc32.exe
20.07.2005 20:07 176.128 nvudisp.exe
20.07.2005 20:07 540.672 nvhwvid.dll
20.07.2005 20:07 81.920 nvwddi.dll
20.07.2005 20:07 1.339.392 nvdspsch.exe
20.07.2005 20:07 14.757 nvdisp.nvu
20.07.2005 20:07 1.662.976 nvwdmcpl.dll
20.07.2005 20:07 7.110.656 nvcpl.dll
20.07.2005 20:07 147.456 nvcolor.exe
20.07.2005 20:07 32.768 nvcodins.dll
20.07.2005 20:07 1.019.904 nvwimg.dll
20.07.2005 20:07 32.768 nvcod.dll
20.07.2005 20:07 1.519.616 nwiz.exe
20.07.2005 20:07 393.216 keystone.exe
20.07.2005 20:07 442.368 nvappbar.exe
20.07.2005 20:07 3.908.864 nv4_disp.dll
20.07.2005 20:07 1.466.368 nview.dll
20.07.2005 20:07 73.728 nvtuicpl.cpl
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A46C-7764

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp

20.11.2005 17:45 2.233 smurfver.xml
1 Datei(en) 2.233 Bytes
0 Verzeichnis(se), 11.738.193.920 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A46C-7764

Verzeichnis von C:\WINDOWS

20.11.2005 17:49 360.418 pfirewall.log
20.11.2005 17:43 395.299 WindowsUpdate.log
20.11.2005 16:23 159 wiadebug.log
20.11.2005 16:23 50 wiaservc.log
20.11.2005 16:23 2.048 bootstat.dat
20.11.2005 15:39 32.620 SchedLgU.Txt
19.11.2005 16:29 3.992.699 pfirewall.log.old
16.11.2005 19:47 192 winamp.ini
06.11.2005 13:06 0 nsreg.dat
06.11.2005 13:06 99.970 UninstallFirefox.exe
06.11.2005 13:06 2.608 mozver.dat
05.11.2005 22:42 116 NeroDigital.ini
03.11.2005 18:50 29 exlink.ini
29.10.2005 15:25 400 ODBC.INI
22.10.2005 20:30 4.380 ModemLog_RVS ISDN Internet PPP #2.txt
22.10.2005 20:30 4.958 ModemLog_RVS ISDN.txt
22.10.2005 20:30 1.954 ModemLog_RVS ISDN Internet PPP.txt
21.10.2005 11:10 172 Clony2.ini
18.10.2005 22:02 1.289 EntPack.ini
17.10.2005 19:29 0 PROTOCOL.INI
08.10.2005 18:50 639 win.ini
18.09.2005 22:52 886 EntPack.dat
18.09.2005 22:49 63 WINHELP.BMK
16.08.2005 14:21 316.640 WMSysPr9.prx
15.08.2005 18:51 4.096 d3dx.dat
27.07.2005 11:53 0 OpPrintServer.INI
26.07.2005 13:24 59 WINPHONE.INI
26.07.2005 13:18 0 Sti_Trace.log
26.07.2005 13:15 231 system.ini
26.07.2005 12:32 8.192 REGLOCS.OLD
26.07.2005 12:28 0 control.ini
26.07.2005 12:28 4.161 ODBCINST.INI
26.07.2005 12:26 749 WindowsShell.Manifest
26.07.2005 12:24 37 vbaddin.ini
26.07.2005 12:24 36 vb.ini
04.08.2004 01:59 1.014.663 SET3.tmp
04.08.2004 01:55 14.043 SET8.tmp
04.08.2004 01:53 1.086.058 SET4.tmp
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 NOTEPAD.EXE
04.08.2004 00:57 10.752 hh.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
18.08.2001 13:00 17.062 Kaffeetasse.bmp
18.08.2001 13:00 65.978 Seifenblase.bmp
18.08.2001 13:00 80 explorer.scf
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 16.730 Feder.bmp
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 1.405 msdfmap.ini
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 707 _default.pif
25.01.1999 10:08 46.352 setdebug.exe
25.01.1999 09:11 6.550 jautoexp.dat
17.11.1998 11:44 328.704 IsUn0407.exe
29.10.1998 15:45 306.688 IsUninst.exe
30.04.1998 13:56 129.024 UNWISE.EXE
09.12.1996 21:33 304.128 unin0407.exe
11.09.1991 23:00 19.200 WEPUTIL.DLL
11.09.1991 23:00 271.264 VBRUN100.DLL
77 Datei(en) 11.381.130 Bytes
0 Verzeichnis(se), 11.738.157.056 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A46C-7764

Verzeichnis von C:\

20.11.2005 17:50 0 sys.txt
20.11.2005 17:49 4.107 system.txt
20.11.2005 17:48 291 systemtemp.txt
20.11.2005 17:45 93.766 system32.txt
20.11.2005 16:23 536.399.872 hiberfil.sys
20.11.2005 16:23 805.306.368 pagefile.sys
26.07.2005 12:28 0 AUTOEXEC.BAT
26.07.2005 12:28 0 CONFIG.SYS
26.07.2005 12:28 0 IO.SYS
26.07.2005 12:28 0 MSDOS.SYS
26.07.2005 12:22 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
14 Datei(en) 1.342.108.315 Bytes
0 Verzeichnis(se), 11.738.148.864 Bytes frei


Und das Blacklight-Log:

11/20/05 17:53:48 [Info]: BlackLight Engine 1.0.25 initialized
11/20/05 17:53:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/20/05 17:53:48 [Note]: 4019 4
11/20/05 17:53:48 [Note]: 4005 0
11/20/05 17:53:53 [Note]: 4006 0
11/20/05 17:53:53 [Note]: 4011 2520
11/20/05 17:53:53 [Note]: FSRAW library version 1.7.1013
11/20/05 17:54:18 [Note]: 4007 0

#20 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\hlmicro.exe
C:\WINDOWS\SYSTEM32\bndmod.exe
C:\WINDOWS\SYSTEM32\hwiper.exe
C:\WINDOWS\SYSTEM32\iskmt.exe
C:\WINDOWS\SYSTEM32\SetupCarnival.exe
C:\WINDOWS\SYSTEM32\cscva.exe

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Da bin ich wieder!

Hat ein bisschen länger gedauert, aber hier die Ergebnisse:



"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"routcnf" = "D:\Programme\Telekom\Eumex 504PC USB\routcnf.exe" [file not found]
"AVGCtrl" = ""D:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"CloneCDTray" = ""C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"WinampAgent" = "D:\Programme\Winamp\winampa.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"LWBMOUSE" = "D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [empty string]
"RegistryMechanic" = (empty string)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Jan" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart
"SmartSurfer" -> shortcut to: "D:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe -m" ["WEB.DE AG"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe" ["Adobe Systems Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"CAPIControl" -> shortcut to: "D:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe" ["DeTeWe AG & Co."]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
RVS CommCenter, RvsCC, "C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE" [empty string]
RVS Installer, RVSINST, "C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE" ["RVS Datentechnik GmbH, München"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" ["Adobe Systems Incorporated."]
RVS Fax Monitor\Driver = "RVSMONNT.DLL" ["RVS Datentechnik GmbH, München"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 12 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 22 seconds.
---------- (total run time: 55 seconds)

Panda:

Incident Status Location

Adware:Adware/QuickWeb No disinfected C:\!KillBox\hlmicro.exe
Adware:Adware/Findspy No disinfected D:\Programme\AVPersonal\INFECTED\A0077131.EXE.VIR
Adware:Adware/Findspy No disinfected D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.001
Adware:Adware/Findspy No disinfected D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.002
Adware:Adware/Findspy No disinfected D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.VIR

#22 loesche:
C:\!KillBox

und scanne , poste die scanreporte
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina!

Ich habe jetzt alle Programme scannen lassen und den Computer rebootet. Irgendwie hat das Programm aber nur ein Log gespeichert. Hier kommt es.
Übrigens hat Antivir vorhin wieder einen Trojaner gemeldet:TR/Dldr.Xsvix. Na ja, ich hoffe, dass das irgendwann mal aufhört.

Schönen Gruß von Jan.

101637 files have been read.
101637 files have been checked.
75209 files have been scanned.
89334 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 11/21/2005 11:53:03 13 minutes 40 seconds (819.61 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-11-21, 11:53:03, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.

#24 Gehe in die Registry

Start-->Ausfuehren--> regedit

Zitat

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
• "1dedoc"=hex:%hex values%
• "llams_ogol"=hex:%hex values%
• "repiwh"=hex:%hex values%
• "ytpme"=hex:%hex values%
• "emvaf"=hex:%hex values%
• "domdnb"=hex:%hex values%
• "orcimlh"=hex:%hex values%
• "putesprpgd"=hex:%hex values%

[HKLM\SOFTWARE\SearchToolbar\Toolbar]<---loeschen
• "Version"="1.1"
• "OptdateTest"=dword:4365eb0a

[HKCR\ToolBand.ToolBandObj.1]<---loeschen
• @="SearchToolbar"

[HKCR\ToolBand.ToolBandObj]<---loeschen
• @="SearchToolbar"

[HKCR\ToolBand.ToolBandObj\CLSID]
• @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"<---loeschen

[HKCR\ToolBand.ToolBandObj\CurVer]
• @="ToolBand.ToolBandObj.1"<---loeschen

[HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]<---loeschen
• @="SearchToolbar"

[HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0]<---loeschen


loesche mit der Killbox:

C:\WINDOWS\SYSTEM32\hgqhp.exe
C:\WINDOWS\SYSTEM32\coded1.exe
C:\WINDOWS\SYSTEM32\logo_small.exe
C:\WINDOWS\SYSTEM32\hlmicro.exe
C:\WINDOWS\SYSTEM32\hwiper.exe
C:\WINDOWS\SYSTEM32\favme.exe
C:\WINDOWS\SYSTEM32\bndmod.exe
C:\WINDOWS\SYSTEM32\dgprpsetup.exe
C:\WINDOWS\rdt.ini

D:\Programme\AVPersonal\INFECTED\A0077131.EXE.VIR
D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.001
D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.002
D:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.VIR

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

deaktiviere dann noch die Systemwiederherstellung, boote und aktiviere sie wieder.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo Sabina.

Irgendwie klappt das alles nicht. Die Registry-Sachen finde ich gar nicht und der Kaspersky-Scan hat erst viele Backdoor-Programme gefunden und dann hat sich der Computer von selbst runtergefahren. Habe das Gefühl, die Sache ist vile ernster, als ich dachte...

Ich versuche jetzt noch mal den Scan.

Gruß von Jan.

#26 der kaspersky hat bestimmt viele Eintraege vo der Systemwiederherstellung gefunden...die kannst du deaktivieren und dann noch mal scannen

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo!

Jetzt bin ich endlich zum scannen gekommen. Hänge das Log wie immer an. Soll ich die Systemherstellung dann wieder aktivieren? Wie kann ich mich in Zukunft vor diesen Dingern schützen - AntiVir scheint nicht allzugut vorbereitet zu sein?

Gruß von Jan.



KASPERSKY ON-LINE SCANNER REPORT
Monday, November 21, 2005 22:33:06
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 21/11/2005
Kaspersky Anti-Virus database records: 151215
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 116812
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 2507 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.

#28 du kannst die Systemwiederherstellung wieder aktivieren
Ansonsten denke ich (hoffe ich)...dass alles clean ist.

Schuetzen kannst du dich, indem du die WindowsUpdates alle hast und mit einem eingeschranekten Benutzerkonto surfst.
http://virus-protect.org/administrator.html

dann denke auch mal ueber ein effektives BackUp-Tool nach, mit dem du das System gleich wieder clean hast, wenn doch mal was schief gehen sollte......

Thema: Datensicherung
http://virus-protect.org/ntbackup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Ich hoffe auch, dass jetzt alles in Ordnung ist.
Mach´s gut und vielen Dank für deine tolle Hilfe.

Hoffentlich nicht bis so bald

Liebe Grüße von Jan