Winfixer 2005 Problem

#91 Hallo auch wieder!

Leider hat der CleanUp mit anschliessendem Counterspy (mit und ohne abgesichertem Modus) das Problem eher verschärft als bereinigt. Es wurde zwar einiger Müll entfernt (laut Logs), aber mein eigentliches Problem hat sich verschärft. So als ob der Winfixer jetzt froh ist die ganze Konkurrenz los zu sein. Habe auch schon diverse Tools ausprobiert um dem Ding an den Kragen zu kommen (Spyremover, Acronis, Panda etc.). Hierbei hat nur Panda Titanium eine Meldung zu Winfixer gebracht und diesen auch laut Log umbenannt (somit unschädlich?), aber nach Neustart ist das Problem immer noch da und ein erneuter Scan liefert das selbe Ergebnis (ohne den wirklich entfernten Müll!)

Hier noch mal ein aktueller Log aus HJT:
Logfile of HijackThis v1.99.1
Scan saved at 00:11:04, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Nfserver\nfsd.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Programme\ATI Multimedia\MAIN\ATISched.EXE
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Guido\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93D3922-FC58-4DF6-B3C8-8D5C057EA65A}: NameServer = 145.253.2.11,145.253.2.75
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\steuer2004\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Omni-NFS Server - Unknown owner - C:\Programme\Nfserver\nfsd.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: RVS CommCenter (RvsCC) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
O23 - Service: XLink LPD - Unknown owner - C:\Programme\Nfserver\lpd.exe

Ich stehe kurz davor zum äussersten zu gehen (platt machen!), aber noch scheue ich die Komplikationen des neu Aufsetzen (letztes mal hat mich das 3 Tage gekostet bis ich alles wieder so eingerichtet hatte wie vorher; eigentlich habe ich den Zustand nie erreicht)

#92 Geronimo73

winpfind--> kopiere bitte das Log hier
http://virus-protect.org/winpfind.html
---------------------------------------------------------
Frage:
brauchst du unbedingt
PreispiratenSearchURL
??
oder kann ich das beim naechsten mal alles rausnehmen?
__________
MfG Sabina

rund um die PC-Sicherheit

#93 Hallo nochmal,

Diesmal der Log von WinPFind:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Version:
Internet Explorer Version:

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
08.12.2005 10:06:18 HS 804835328 \hiberfil.sys
08.12.2005 10:06:16 HS 402653184 \pagefile.sys
09.11.2005 23:51:04 H 1024 \Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG
21.10.2005 16:56:10 S 86 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18\77c2b2bb87303a3b1511695c8d998ab1_f7f9b3b0-248e-4caa-b254-fb3921db5e0b
21.10.2005 16:57:30 H 131216 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\DbgClr\7.1\1031\DbgCLR.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1028\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1031\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1033\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1036\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1040\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1041\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\1042\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\2052\dexplore.CTM
21.10.2005 16:57:28 H 84704 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\7.0\3082\dexplore.CTM
21.10.2005 16:58:02 H 440056 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\visualstudio\7.1\1031\devenv.CTM
21.10.2005 16:57:32 H 193852 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\VSA\7.1\1031\vsaenv.CTM
05.11.2005 15:20:52 H 442 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm.hxn
05.11.2005 15:20:52 H 571444 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MKWD_F.HxW
05.11.2005 15:20:52 H 477152 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MKWD_K.HxW
05.11.2005 15:20:52 H 13860 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MKWD_NamedUrlIndex.HxW
05.11.2005 15:20:52 H 218620 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MTOC_COL_FarPoint.Win.Spread.HxH
05.11.2005 15:20:52 H 9932 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MValidator.HxD
05.11.2005 15:20:52 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint.Spread.WinForm_1031_MValidator.Lck
05.11.2005 15:20:52 H 382 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint_ProductHelp.hxn
05.11.2005 15:20:54 H 218994 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint_ProductHelp_1031_MTOC_FarPoint.Help.HxH
05.11.2005 15:20:54 H 9582 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint_ProductHelp_1031_MValidator.HxD
05.11.2005 15:20:54 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\FarPoint_ProductHelp_1031_MValidator.Lck
05.11.2005 15:18:08 H 304 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\h2viewer.hxn
21.10.2005 16:56:38 H 374 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx.hxn
21.10.2005 16:57:34 H 13776 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx_1031_MKWD_K.HxW
21.10.2005 16:57:34 H 13778 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx_1031_MKWD_NamedURL.HxW
21.10.2005 16:57:34 H 10090 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx_1031_MTOC_Hx.HxH
21.10.2005 16:57:34 H 9634 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx_1031_MValidator.HxD
21.10.2005 16:57:34 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\Hx_1031_MValidator.Lck
21.10.2005 16:56:36 H 388 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore.hxn
21.10.2005 16:57:42 H 21668 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MKWD_A.HxW
21.10.2005 16:57:42 H 13476 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MKWD_F.HxW
21.10.2005 16:57:42 H 13476 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MKWD_K.HxW
21.10.2005 16:57:44 H 13476 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MKWD_VS70NamedUrl.HxW
21.10.2005 16:57:44 H 9768 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MValidator.HxD
21.10.2005 16:57:44 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.Dexplore_1031_MValidator.Lck
21.10.2005 16:56:38 H 3800 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE.hxn
21.10.2005 16:57:34 H 4486 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_CValidator.HxD
21.10.2005 16:57:40 H 11682044 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MKWD_A.HxW
21.10.2005 16:57:42 H 6467064 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MKWD_F.HxW
21.10.2005 16:57:38 H 7504352 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MKWD_K.HxW
21.10.2005 16:57:42 H 13800 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MKWD_NETSDKNamedUrls.HxW
21.10.2005 16:57:36 H 2472566 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MTOC_NETSDK.HxH
21.10.2005 16:57:42 H 11036 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MValidator.HxD
21.10.2005 16:57:36 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.NETFrameworkSDKv1.1.DE_1031_MValidator.Lck
05.11.2005 15:20:48 H 1198 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003.hxn
05.11.2005 15:16:14 H 21956 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MKWD_A.HxW
05.11.2005 15:16:14 H 13764 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MKWD_F.HxW
05.11.2005 15:16:14 H 21956 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MKWD_K.HxW
05.11.2005 15:16:14 H 13770 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MKWD_VsccNamedUrls.HxW
05.11.2005 15:16:14 H 10808 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MTOC_vscc.HxH
05.11.2005 15:16:14 H 9958 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MValidator.HxD
05.11.2005 15:16:14 H 4 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\MS.VSCC.2003_1031_MValidator.Lck
05.11.2005 15:20:52 H 1638 \Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help\nslist.hxl
26.11.2005 09:49:04 HS 0 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Karin\Eigene Dateien\desktop.ini
26.11.2005 09:49:04 HS 107 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Karin\Eigene Dateien\Eigene Bilder\Desktop.ini
26.11.2005 09:49:04 HS 108 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Karin\Eigene Dateien\Eigene Musik\Desktop.ini
26.11.2005 09:50:02 HS 0 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Tanja\Eigene Dateien\desktop.ini
26.11.2005 09:54:48 HS 107 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Tanja\Eigene Dateien\Eigene Bilder\Desktop.ini
26.11.2005 09:54:48 HS 108 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Tanja\Eigene Dateien\Eigene Musik\Desktop.ini
26.11.2005 09:47:10 HS 0 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Wilfried\Eigene Dateien\desktop.ini
26.11.2005 09:47:46 HS 107 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Wilfried\Eigene Dateien\Eigene Bilder\Desktop.ini
26.11.2005 09:47:46 HS 108 \Dokumente und Einstellungen\All Users\Desktop\TM Eigene Dateien\Wilfried\Eigene Dateien\Eigene Musik\Desktop.ini
08.12.2005 13:24:26 HS 76 \Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sample Playlists\desktop.ini
08.12.2005 13:24:26 HS 76 \Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\desktop.ini
09.11.2005 23:51:04 H 1024 \Dokumente und Einstellungen\Default User\ntuser.dat.LOG
08.12.2005 14:21:44 H 1310720 \Dokumente und Einstellungen\Internet\NTUSER.DAT
08.12.2005 15:10:46 H 1024 \Dokumente und Einstellungen\Internet\ntuser.dat.LOG
08.12.2005 13:56:56 HS 2580 \Dokumente und Einstellungen\Internet\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
08.12.2005 13:24:36 HS 182 \Dokumente und Einstellungen\Internet\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\desktop.ini
08.12.2005 13:24:34 HS 81 \Dokumente und Einstellungen\Internet\Eigene Dateien\desktop.ini
08.12.2005 13:24:34 HS 188 \Dokumente und Einstellungen\Internet\Eigene Dateien\Eigene Bilder\Desktop.ini
08.12.2005 13:24:34 HS 188 \Dokumente und Einstellungen\Internet\Eigene Dateien\Eigene Musik\Desktop.ini
08.12.2005 13:24:34 HS 122 \Dokumente und Einstellungen\Internet\Favoriten\Desktop.ini
08.12.2005 13:24:10 HS 62 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\desktop.ini
08.12.2005 13:24:32 H 1024 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
08.12.2005 13:24:20 HS 67 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temporary Internet Files\desktop.ini
08.12.2005 13:25:08 HS 67 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9YHKD4F\desktop.ini
08.12.2005 13:25:08 HS 67 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BB1LOV21\desktop.ini
08.12.2005 13:25:08 HS 67 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M7U9G1UD\desktop.ini
08.12.2005 13:25:08 HS 67 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRK4856U\desktop.ini
08.12.2005 13:25:08 HS 113 \Dokumente und Einstellungen\Internet\Lokale Einstellungen\Verlauf\desktop.ini
08.12.2005 13:24:34 HS 150 \Dokumente und Einstellungen\Internet\Recent\Desktop.ini
08.12.2005 13:24:36 HS 294 \Dokumente und Einstellungen\Internet\Startmenü\Programme\desktop.ini
08.12.2005 13:24:28 HS 553 \Dokumente und Einstellungen\Internet\Startmenü\Programme\Zubehör\desktop.ini
11.10.2005 13:21:04 HS 13312 \Programme\Codec Pack - All In 1\Thumbs.db
07.11.2005 19:21:42 H 8628 \Programme\Siemens AG\QuickSync\Help\SQSHelp0407.GID
21.10.2005 06:13:12 H 11169 \Programme\SlySoft\AnyDVD\AnyDVD-uninst.ini
08.12.2005 13:25:10 HS 65 \RECYCLER\S-1-5-21-2190867815-2299825339-2237029002-1014\desktop.ini
08.12.2005 13:25:10 H 20 \RECYCLER\S-1-5-21-2190867815-2299825339-2237029002-1014\INFO2
08.12.2005 10:06:30 S 2048 \WINDOWS\bootstat.dat
08.12.2005 13:23:36 H 24 \WINDOWS\pyJ7l
07.12.2005 13:15:10 RH 0 \WINDOWS\assembly\PublisherPolicy.tme
07.12.2005 13:15:10 RH 0 \WINDOWS\assembly\pubpol1.dat
07.12.2005 15:41:32 RH 0 \WINDOWS\assembly\NativeImages_v2.0.50727_32\index1b.dat
07.12.2005 15:47:46 RH 0 \WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat
25.11.2005 07:46:04 H 0 \WINDOWS\inf\oem38.inf
08.12.2005 13:25:18 H 1024 \WINDOWS\system32\config\default.LOG
08.12.2005 13:24:00 H 1024 \WINDOWS\system32\config\SAM.LOG
08.12.2005 12:08:12 H 1024 \WINDOWS\system32\config\SECURITY.LOG
08.12.2005 15:11:28 H 24576 \WINDOWS\system32\config\software.LOG
08.12.2005 15:08:48 H 1024 \WINDOWS\system32\config\system.LOG
08.12.2005 00:36:06 H 1024 \WINDOWS\system32\config\userdiff.LOG
30.10.2005 20:23:34 HS 388 \WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\1ebdde5d-3d65-43b4-8da6-db92866a4edc
30.10.2005 20:23:34 HS 24 \WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred

Checking for CPL files...

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
15.09.2005 11:31:20 215 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Monitors.def
24.10.2005 12:02:38 286 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Policies.def
qoologic 15.09.2005 07:08:00 1337 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Qoologic.def
16.09.2005 08:35:00 1313 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\RDriv.def
15.09.2005 10:27:00 1958 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\WareOut.def

Checking files in %ALLUSERSPROFILE%\Application Data folder...
15.09.2005 11:31:20 215 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Monitors.def
24.10.2005 12:02:38 286 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Policies.def
qoologic 15.09.2005 07:08:00 1337 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\Qoologic.def
16.09.2005 08:35:00 1313 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\RDriv.def
15.09.2005 10:27:00 1958 C:\Dokumente und Einstellungen\Internet\Desktop\WinPFind\plugins\WareOut.def

Checking files in %USERPROFILE%\Startup folder...
12.09.2002 11:10:52 HS 84 C:\Dokumente und Einstellungen\Internet\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
12.09.2002 12:02:28 HS 62 C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = :
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background
ATI Remote Control C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe

ATI Launchpad

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 08.12.2005 15:11:35


Übrigens versuche ich schon den Preisfinder zu deinstallieren, das mag er aber nicht. Sagt immer Unistall abortet gelöschte Dateien werden wiederhergestellt...

#94 ich habs vermutet...da ist ein Wareout drauf:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

kopiere hier die 4 Textdateien (3 monate reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#95 Also die Textdateien:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9CF8-73D7

Verzeichnis von C:\WINDOWS\system32

08.12.2005 12:54 34.308 BASSMOD.dll
08.12.2005 00:35 465 inodes.index ???
07.12.2005 13:23 902 InstallUtil.InstallLog
07.12.2005 13:19 405.310 perfh009.dat
07.12.2005 13:19 63.860 perfc009.dat
07.12.2005 13:19 420.482 perfh007.dat
07.12.2005 13:19 76.886 perfc007.dat
07.12.2005 13:19 974.144 PerfStringBackup.INI
07.12.2005 13:00 2.206 wpa.dbl
02.12.2005 21:51 53.392 mountd.list
28.11.2005 20:47 77.824 setupnt.dll
23.11.2005 23:33 132.875 Msinet.ocx
20.11.2005 18:05 283.720 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
19.10.2005 18:50 16.384 restart.exe
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
25.09.2005 14:16 700.427 username.exe
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 83.456 dfshim.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 146.432 msrating.dll


und:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9CF8-73D7

Verzeichnis von C:\DOKUME~1\ANWEND~1\LOKALE~1\Temp

08.12.2005 18:27 924.840 Policies.SIG
08.12.2005 18:27 133 PavStat.bin
08.12.2005 18:27 502.627 Prevent.sig
07.09.2005 01:25 733.184 AutoRun.exe
27.08.2005 07:16 585.728 AutoRunGUI.dll
5 Datei(en) 2.746.512 Bytes
0 Verzeichnis(se), 23.937.871.872 Bytes frei

und:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9CF8-73D7

Verzeichnis von C:\WINDOWS

08.12.2005 19:52 24 pyJ7l
08.12.2005 18:18 0 0.log
08.12.2005 18:18 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
08.12.2005 18:18 4.060 ModemLog_Softmodem V.32bis + Fax Class 1.txt
08.12.2005 18:18 1.932 ModemLog_RVS ISDN.txt
08.12.2005 18:18 159 wiadebug.log
08.12.2005 18:17 2.075.450 WindowsUpdate.log
08.12.2005 18:17 50 wiaservc.log
08.12.2005 18:16 2.048 bootstat.dat
08.12.2005 18:14 514 nsw.log
08.12.2005 18:14 705.595 setupapi.log
08.12.2005 09:07 2.200 OEWABLog.txt
08.12.2005 09:07 214.481 wmsetup.log
08.12.2005 01:04 1.302.810 ntbtlog.txt
08.12.2005 00:35 3.214 regopt.log
07.12.2005 17:00 29.755 spupdsvc.log
07.12.2005 13:24 107.913 iis6.log
07.12.2005 13:24 235.026 comsetup.log
07.12.2005 13:24 145.463 ntdtcsetup.log
07.12.2005 13:24 31.793 ocmsn.log
07.12.2005 13:24 276.256 tsoc.log
07.12.2005 13:24 1.374 imsins.log
07.12.2005 13:24 8.226 WMCSetup.log
07.12.2005 13:23 345.930 ocgen.log
07.12.2005 13:23 33.652 msgsocm.log
07.12.2005 13:23 680.824 FaxSetup.log
07.12.2005 13:21 316.640 WMSysPr9.prx
07.12.2005 12:26 37 r007
06.12.2005 22:48 6.888 ccscan6.ini
06.12.2005 22:45 649 cclean13.ini
01.12.2005 07:41 116 NeroDigital.ini
24.11.2005 17:43 1.105 win.ini
23.11.2005 23:33 0 [INI]
23.11.2005 22:37 109 oodcnt.INI
09.11.2005 23:50 11.821 KB896424.log
09.11.2005 23:50 22.283 updspapi.log
21.10.2005 20:49 5.796 COM+.log
21.10.2005 17:15 2.838 KB885884.log
21.10.2005 16:56 3.800 actsetup.log
21.10.2005 16:55 731 ODBC.INI
20.10.2005 22:19 5.694 MKDEMSG.LOG
20.10.2005 22:19 4.608 MKDEWE.TRN
15.10.2005 07:18 21.576 KB901017.log
15.10.2005 07:18 24.049 KB902400.log
15.10.2005 07:18 15.435 KB896688.log
15.10.2005 07:17 14.083 KB905414.log
15.10.2005 07:17 13.856 KB900725.log
15.10.2005 07:17 11.203 KB904706.log
15.10.2005 07:17 11.860 KB905749.log
03.09.2005 08:28 19.773 Run32A50.mch
03.09.2005 08:24 198 A5W.INI
10.08.2005 23:30 18.716 KB899587.log
10.08.2005 23:30 18.208 KB899591.log
10.08.2005 23:30 18.324 KB893756.log
10.08.2005 23:30 17.663 KB896423.log
10.08.2005 23:29 18.277 KB896727.log
10.08.2005 23:29 13.508 KB899588.log
10.08.2005 23:29 13.331 KB894391.log

sowie:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9CF8-73D7

Verzeichnis von C:\

08.12.2005 19:52 0 sys.txt
08.12.2005 19:52 15.679 system.txt
08.12.2005 19:52 486 systemtemp.txt
08.12.2005 19:52 115.095 system32.txt
08.12.2005 18:16 804.835.328 hiberfil.sys
08.12.2005 18:16 402.653.184 pagefile.sys
07.12.2005 10:47 0 23990098.$$$
07.12.2005 10:47 6 AVPCallback.log
30.10.2005 19:52 129.102 hoTrace.log
03.05.2005 05:36 4.349 hpfr3425.log
03.05.2005 05:36 513 hpfr3420.xml
15.10.2004 22:22 210 boot.ini
15.10.2004 22:13 47.564 NTDETECT.COM
15.10.2004 22:13 251.184 ntldr
01.10.2003 19:58 0 AUTOEXEC.BAT
11.08.2003 13:00 4.952 bootfont.bin
13.03.2003 07:12 0 reclock_log.txt
11.01.2003 15:10 512 camusd.log
17.09.2002 17:14 315 IPH.PH
12.09.2002 11:10 0 autoexec.nai
12.09.2002 11:10 0 MSDOS.SYS
12.09.2002 11:10 0 CONFIG.SYS
12.09.2002 11:10 0 IO.SYS
23 Datei(en) 1.208.058.479 Bytes
0 Verzeichnis(se), 23.937.921.024 Bytes frei

und von blacklight:

12/08/05 19:46:19 [Info]: BlackLight Engine 1.0.29 initialized
12/08/05 19:46:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/08/05 19:46:24 [Note]: 7019 4
12/08/05 19:46:24 [Note]: 7005 0
12/08/05 19:46:31 [Note]: 7006 0
12/08/05 19:46:31 [Note]: 7011 3720
12/08/05 19:46:32 [Note]: 7018 860
12/08/05 19:46:32 [Info]: Hidden process: C:\PROGRAMME\TSUPIELE\LFRACHEX.EXE
12/08/05 19:46:32 [Note]: 7018 968
12/08/05 19:46:32 [Info]: Hidden process: C:\WINDOWS\SYSTEM32\WKSPLDLG.EXE
12/08/05 19:46:34 [Note]: FSRAW library version 1.7.1013
12/08/05 19:46:48 [Info]: Hidden file: C:\Programme\Tsupiele\ace.dll
12/08/05 19:46:48 [Note]: 7002 0
12/08/05 19:46:48 [Note]: 7003 1
12/08/05 19:46:48 [Note]: 10002 3
12/08/05 19:46:48 [Info]: Hidden file: C:\Programme\Tsupiele\AI_02-12-2005.log
12/08/05 19:46:48 [Note]: 7002 0
12/08/05 19:46:48 [Note]: 7003 1
12/08/05 19:46:48 [Note]: 10002 3
12/08/05 19:46:48 [Info]: Hidden file: C:\Programme\Tsupiele\AI_03-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\AI_04-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\AI_05-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\AI_06-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\AI_07-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\AI_08-12-2005.log
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\Cache\00000029_4387ce10_0001e848
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\Cache\00000029_43881d59_0008d24d
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\Cache\00000029_438b681f_00022551
12/08/05 19:46:49 [Note]: 7002 0
12/08/05 19:46:49 [Note]: 7003 1
12/08/05 19:46:49 [Note]: 10002 3
12/08/05 19:46:49 [Info]: Hidden file: C:\Programme\Tsupiele\Cache\00000029_438c8559_0003567e

usw...

#96 nein, es ist kein Wareout, es ist Apropos.

also:

doppelklick: blbeta.exe
klicke auf "next" --> Step 2 --> Cleaning)
dann boote den PC...dann muesste alles umbenannt sein in *ren)

dann loesche im abgesicherten Modus:

C:\WINDOWS\pyJ7l
C:\PROGRAMME\TSUPIELE

Zitat

es muss noch eine sys-Datei geben...du musst sie suchen , wenn der f-secure noch mal scannt und mir posten, welche es ist.
Beispiel:
C:\WINDOWS\system32\drivers\xxxxxx.sys

Dr.Web - Scanner--> scanne und berichte, ob die sys geloescht wurde...und anderes
http://virus-protect.org/cureit.html

------------------------------------------------------------------------
Beispiel von Apropos_
http://virus-protect.org/artikel/spyware/apropos1.html
http://virus-protect.org/artikel/spyware/battlefield.html
__________
MfG Sabina

rund um die PC-Sicherheit

#97 Erstmal die Antwort auf die Frage nach der .sys Datei:
C:\WINDOWS\system32\drivers\vmdsperf.sys

edit:
Das Problem scheint behoben zu sein! Vielen Dank auch für die Mühe! Ich habe aber noch eine Frage:

Was ist der Apropos, was bewirkt der und was habe ich gemacht um mir diesen einzufangen? Schließlich habe ich seit Sasser immer einen aktuellen Virenschutz, sowie die Firewall meines Routers aktiv.
edit off:

#98 Geronimo73
-----------------------------------------------------------------------------
meiner Erfahrung nach warst du auf einer Seite,und hast da irgendwas laden wollen.....
und wahrscheinlich mit AktiveX im IE aktiviert. wenn du selbst den Ladevorgang bestaetigst, hilft auch der beste Router+ Firewall+ Antivirus nicht viel....

Wenn ich mir jedoch die Installationsroutine vom Apropos anschaue, dann wird es so gewesen sein.

Reinige noch die Registry
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

Surfe nur mit dem Firefox und meide suspekte Seiten
http://virus-protect.org/firefox.html

Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#99 Hiermit verabschiede ich mich vorerst, da z.Zt. alles ohne Probleme zu laufen scheint!

Nicht aber ohne mich förmlich für die reichliche Unterstützung zu bedanken!!!
*auf die Knie fallen und Füsse küssen*

Ich hoffe wir hören uns nicht so bald wieder! (Ihr habt sicher Verständnis!)

Gruß Geronimo

#100 Ich habe auch das win fixer problem
das ist mein logfile
kann mir jemand helfen das virus runterzubekommen



Logfile of HijackThis v1.99.1
Scan saved at 15:35:48, on 14.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\evcbqnyv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\OpenOffice.org 1.9.54\program\soffice.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe
C:\WINDOWS\explorer.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Kilian\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

#101 Killian

das Log ist nicht komplett...es fehlt die Haelfte

counterspy ...scanne im abgesicherten modus
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

dann kopiere hier das komplette log vom hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit

#102 einen schönen guten abend,

ich habe kürzlich auch das problem mit winfix gehabt, es aber meine ich erfolgreich vom pc runter... die frage is... wirklich??
könntet ihr vielleicht mal einen blick auf meinen log werfen... ich hab nämlich kein plan davon

vielen dank schon mal


mein log:

Logfile of HijackThis v1.99.1
Scan saved at 20:42:40, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\lvhidsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\TVR\RecSche.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\MediaGateway\MediaGateway.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Valve\Steam.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Chris2\LOKALE~1\Temp\Rar$EX01.735\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.50.170.20 www.google.com
O1 - Hosts: 69.50.170.21 search.yahoo.com
O1 - Hosts: 69.50.170.22 search.msn.com
O1 - Hosts: 209.87.155.230 hangoutspot.com
O1 - Hosts: 209.87.155.230 hangoutspot.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [kwwqcctqsxv] C:\WINDOWS\system32\yiobjw.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] D:\Valve\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1819023 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1819023 (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.75.240.10/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

#103 TheSecret

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O1 - Hosts: 69.50.170.20 www.google.com
O1 - Hosts: 69.50.170.21 search.yahoo.com
O1 - Hosts: 69.50.170.22 search.msn.com
O1 - Hosts: 209.87.155.230 hangoutspot.com
O1 - Hosts: 209.87.155.230 hangoutspot.com
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} -C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [kwwqcctqsxv] C:\WINDOWS\system32\yiobjw.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1819023 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1819023 (file missing)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab

PC neustarten

loesche:

C:\WINDOWS\ffisearch.exe\script.dat
C:\WINDOWS\ffisearch.exe
C:\WINDOWS\system32\boln.dll
C:\WINDOWS\System32\dddd.exe
C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\sysupd.dll
C:\WINDOWS\isrvs\isearch.xpi
C:\WINDOWS\isrvs\msdbhk.dll
C:\WINDOWS\Temp\B208490711\build2.exe
C:\WINDOWS\delprot.ini
C:\WINDOWS\deskbar.ini
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\isrvs\edmond.exe
C:\WINDOWS\isrvs

C:\Programme\MediaGateway
C:\WINDOWS\system32\gah95on6.exe
C:\WINDOWS\system32\yiobjw.exe
C:\Program Files\Zango Programs

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
--------------------------------------------------------------------------

Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

Panda und TrendMicro-Onlinescann
http://virus-protect.org/onlinescan.html
loesche manuell, was noch gefunden wird

----------------------------------------------------------------------------------
http://virus-protect.org/artikel/spyware/isrvs.html
__________
MfG Sabina

rund um die PC-Sicherheit

#104 vielen dank auch

schönen tag noch... und schöne weihnachten

#105 hallo hallo,

selbes Problem..
hier mein Logfile, mit dem ich leider absolut nix anfangen kann, bin nicht so ein Freak bei solchen Sachen...:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:17:37, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\sstray.exe
C:\DOKUME~1\AN0B04~1\DESKTOP\DWNLDS\SIMPLE~1\SSS\SIMPLESCREENSHOT.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\30cf7c5e.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\dwnlds\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.bild.t-online.de
F2 - REG:system.ini: Shell=Explorer.exe dust.exe
O1 - Hosts: 213.239.198.176 w*w.phpbb.de
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: IeObj Class - {AE821A68-7090-4228-A8FA-8A88454E2A89} - c:\dokumente und einstellungen\***\desktop\dwnlds\bvb browser\4cbarhelper.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: 4c vision - {D27FB612-E7D9-46BB-A4E1-20CDC4B55D16} - c:\dokumente und einstellungen\***\desktop\dwnlds\bvb browser\4cbar.dll (file missing)
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SimpleScreenshot] C:\DOKUME~1\AN0B04~1\DESKTOP\DWNLDS\SIMPLE~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [30cf7c5e] C:\WINDOWS\system32\30cf7c5e.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\AN0B04~1\Desktop\dwnlds\icq\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\AN0B04~1\Desktop\dwnlds\icq\ICQ.exe (file missing)
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - h**p://www.emusic.com?fref=149133 (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.bild.t-online.de
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - h**p://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B58730-4FA7-4E6C-82C4-FE6311B3DABE}: NameServer = 217.237.150.97 217.237.150.225
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

ich hoffe, ihr könnt mir helfen. wäre nett!!