Jetzt hat es mich auch mit den pop ups erwischt |
||
---|---|---|
#0
| ||
12.11.2005, 00:40
Member
Beiträge: 23 |
||
|
||
12.11.2005, 01:16
Ehrenmitglied
Beiträge: 29434 |
#2
nun arbeite die Option 2 ab und poste das neue Log vom Scan:
http://virus-protect.org/l2mfix.html Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter]. # Drücken Sie eine beliebige Taste, um einen Systemneustart einzuleiten. # Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. # L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. wenn kein Log erscheinen sollte: doppelclick -> second.bat Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V) oder wieder mit der rechten Maustaste. und dann Option 4 ------------------------------- Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2005, 14:16
Member
Themenstarter Beiträge: 23 |
#3
Hi Sabina
Habe alles so gemacht wie gewünscht. Die Maschine ist die ganze Nacht gelaufen und ich habe sie jetzt nach ca 11 Stunden abgebrochen Logfile gibt es aber denoch und folgt hier Setting Directory C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix Running From: C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1416 'smss.exe' Error 0x6 : Das Handle ist ungültig. Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1656 'winlogon.exe' Error 0x6 : Das Handle ist ungültig. Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 304 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1008 'rundll32.exe' Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Backing Up: C:\WINDOWS\system32\myc71u.dll 1 Datei(en) kopiert. Backing Up: C:\WINDOWS\system32\wfsdmoe2.dll 1 Datei(en) kopiert. Backing Up: C:\WINDOWS\system32\guard.tmp 1 Datei(en) kopiert. deleting: C:\WINDOWS\system32\myc71u.dll Successfully Deleted: C:\WINDOWS\system32\myc71u.dll deleting: C:\WINDOWS\system32\wfsdmoe2.dll Successfully Deleted: C:\WINDOWS\system32\wfsdmoe2.dll deleting: C:\WINDOWS\system32\guard.tmp Zipping up files for submission: adding: myc71u.dll (164 bytes security) (deflated 5%) adding: wfsdmoe2.dll (164 bytes security) (deflated 4%) updating: guard.tmp (164 bytes security) (deflated 4%) updating: clear.reg (164 bytes security) (deflated 37%) zip warning: name not matched: *.ini zip error: Nothing to do! (backup.zip) updating: lo2.txt (164 bytes security) (deflated 68%) updating: readme.txt (164 bytes security) (deflated 52%) updating: report.txt (164 bytes security) (deflated 65%) updating: res.txt (164 bytes security) (deflated 65%) updating: test.txt (164 bytes security) (deflated 48%) updating: test2.txt (164 bytes security) (deflated 17%) updating: test3.txt (164 bytes security) (deflated 17%) updating: test5.txt (164 bytes security) (deflated 17%) updating: xfind.txt (164 bytes security) (deflated 41%) updating: log.txt (164 bytes security) (deflated 79%) updating: backregs/3F751102-0CEA-476D-A20F-08644D45F640.reg (164 bytes security) (deflated 70%) updating: backregs/4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE.reg (164 bytes security) (deflated 70%) updating: backregs/87C70D24-A79D-4F8F-A09F-7D19F2339C93.reg (164 bytes security) (deflated 70%) updating: backregs/AFE1261E-F577-475E-87C4-D8F5E2B4A240.reg (164 bytes security) (deflated 69%) updating: backregs/ECE06138-A711-4117-9533-C6170666F0FF.reg (164 bytes security) (deflated 70%) updating: backregs/F970C61A-EE90-4840-98C6-0729F25BAACF.reg (164 bytes security) (deflated 70%) updating: backregs/notibac.reg (164 bytes security) (deflated 87%) updating: backregs/shell.reg (164 bytes security) (deflated 73%) updating: backregs/918384CF-B6F6-43BB-ADA4-C0443512A87F.reg (164 bytes security) (deflated 70%) updating: backregs/E9A3F4F3-0A0A-4174-8F78-08BF12F510C1.reg (164 bytes security) (deflated 70%) adding: backregs/83C8CC14-F33C-4A30-A086-E67DAEC97B70.reg (164 bytes security) (deflated 70%) adding: backregs/E0D9248B-8AAD-4E89-8FE8-1394952DC2C3.reg (164 bytes security) (deflated 70%) Restoring Registry Permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Revoking access for predefined group "Administrators" Inherited ACE can not be revoked here! Inherited ACE can not be revoked here! Warning (option /rgaIO)) - There is no ACE to remove! Registry permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332 Restoring Windows Update Certificates.: deleting local copy: myc71u.dll deleting local copy: wfsdmoe2.dll deleting local copy: guard.tmp The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\hrn4055qe.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 The following are the files found: **************************************************************************** C:\WINDOWS\system32\myc71u.dll C:\WINDOWS\system32\wfsdmoe2.dll C:\WINDOWS\system32\guard.tmp Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{E0D9248B-8AAD-4E89-8FE8-1394952DC2C3}"=- "{83C8CC14-F33C-4A30-A086-E67DAEC97B70}"=- [-HKEY_CLASSES_ROOT\CLSID\{E0D9248B-8AAD-4E89-8FE8-1394952DC2C3}] [-HKEY_CLASSES_ROOT\CLSID\{83C8CC14-F33C-4A30-A086-E67DAEC97B70}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Und falls notwendig nochmal aktuell Hijack Logfile Logfile of HijackThis v1.99.1 Scan saved at 14:15:01, on 12.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\sm56hlpr.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Program Files\CyberLink\PowerCinema\PCMService.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\Programme\Dialer Control\dc.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe /startupscan O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{126F9238-9BAF-4A0C-9746-111B9E850FD5}: NameServer = 195.247.247.195 62.27.27.62 O17 - HKLM\System\CS1\Services\Tcpip\..\{126F9238-9BAF-4A0C-9746-111B9E850FD5}: NameServer = 195.247.247.195 62.27.27.62 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\mvj2l91o1.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Pop ups nachwievor da. Danke schon mal im Voraus Michelangelo |
|
|
||
12.11.2005, 15:37
Ehrenmitglied
Beiträge: 29434 |
#4
loesche manuell: C:\WINDOWS\system32\guard.tmp
VX2Finder XP/2000 http://www.downloads.subratam.org/VX2Finder.exe scanne und poste den scanreport Spysweeper trial (scanne und poste den scanreport) http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2005, 15:52
Member
Themenstarter Beiträge: 23 |
#5
Hi Sabina
O.K erstel Ladung ist VX2 Scan der rest folgt auch gleich nach dem Download Log for VX2.BetterInternet File Finder (ALL) Files Found--- Additional Files--- Keys Under Notify--- Applets crypt32chain cryptnet cscdll ScCertProp Schedule sclgntfy SensLogn termsrv wlballoon wzcnotif Guardian Key--- is called: Guardian Key--- : User Agent String--- {18C5B6CE-9252-A148-54AA-0F42E8DEB20A} MFG Michelangelo |
|
|
||
12.11.2005, 15:59
Ehrenmitglied
Beiträge: 29434 |
#6
der Spysweeper muesste das Problem nun erledigen...aber loesche vorher die guard.temp
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2005, 16:10
Member
Themenstarter Beiträge: 23 |
#7
O.K ich will es versuchen.
Guard.temp kann nicht gelöscht werden. Reicht es beim Booten ? Welches Programm nehme ich besser Killbox oder Hijack? Wenn es nicht so traurig wäre müßte ich langsam lachen mein Desktop ist voll mit Antispy und co Grüße Michelangelo |
|
|
||
12.11.2005, 16:20
Ehrenmitglied
Beiträge: 29434 |
||
|
||
12.11.2005, 17:53
Member
Themenstarter Beiträge: 23 |
#9
Hi Sabina
Guard.temp is weg Spysweeper Log anbei 16:50: | Start of Session, Samstag, 12. November 2005 | 16:50: Spy Sweeper started 16:50: Sweep initiated using definitions version 556 16:50: Found Adware: icannnews 16:50: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\shareddlls\ || dllname (ID = 359349) 16:50: hrnq0555e.dll (ID = 359349) 16:50: Starting Memory Sweep 16:51: Detected running Thread: C:\WINDOWS\system32\stcbase.dll (ID = 83) 16:51: Detected running Thread: C:\WINDOWS\system32\hrnq0555e.dll (ID = 83) 16:52: Memory Sweep Complete, Elapsed Time: 00:01:16 16:52: Starting Registry Sweep 16:52: Found Adware: surf accuracy 16:52: HKLM\software\microsoft\windows\currentversion\uninstall\sacc\ (1 subtraces) (ID = 203070) 16:52: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\shareddlls\ (6 subtraces) (ID = 359347) 16:52: Registry Sweep Complete, Elapsed Time:00:00:07 16:52: Starting Cookie Sweep 16:52: Cookie Sweep Complete, Elapsed Time: 00:00:00 16:52: Starting File Sweep 16:52: c:\programme\surfaccuracy (2 subtraces) (ID = -2147478266) 16:54: Found Adware: sp2ms 16:54: sp2update00.vir (ID = 148759) 16:54: msresearch.vir (ID = 148760) 16:54: msresearch.vir00 (ID = 148760) 16:57: File Sweep Complete, Elapsed Time: 00:04:51 16:57: Full Sweep has completed. Elapsed time 00:06:19 16:57: Traces Found: 19 17:01: Removal process initiated 17:02: Quarantining All Traces: icannnews 17:02: icannnews is in use. It will be removed on reboot. 17:02: hrnq0555e.dll is in use. It will be removed on reboot. 17:02: C:\WINDOWS\system32\stcbase.dll is in use. It will be removed on reboot. 17:02: C:\WINDOWS\system32\hrnq0555e.dll is in use. It will be removed on reboot. 17:02: Quarantining All Traces: sp2ms 17:02: Quarantining All Traces: surf accuracy 17:02: Warning: Launched explorer.exe 17:02: Warning: Quarantine process could not restart Explorer. 17:02: Preparing to restart your computer. Please wait... 17:02: Removal process completed. Elapsed time 00:00:33 Lasse gerade noch E-scan laufen Das ist das Ergebniss. Sat Nov 12 17:49:00 2005 => ***** Scanning complete. ***** Sat Nov 12 17:49:00 2005 => Total Objects Scanned: 56897 Sat Nov 12 17:49:00 2005 => Total Virus(es) Found: 58 Sat Nov 12 17:49:00 2005 => Total Disinfected Files: 0 Sat Nov 12 17:49:00 2005 => Total Files Renamed: 0 Sat Nov 12 17:49:00 2005 => Total Deleted Objects: 0 Sat Nov 12 17:49:00 2005 => Total Errors: 228 Sat Nov 12 17:49:00 2005 => Time Elapsed: 00:30:19 Sat Nov 12 17:49:00 2005 => Virus Database Date: 2005/11/12 Sat Nov 12 17:49:00 2005 => Virus Database Count: 159395 Sat Nov 12 17:49:00 2005 => Scan Completed. Wie interpretiere ich 58 Virus Was denkst Du. Pop ups scheinen weg zu sein. Bis jetzt jedenfalls. Was war es denn jetzt? Übrigens dies hat mein Antivir während des E-scans gefunden 12.11.2005,17:33:15 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.IstBar.IT! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001690.EXE [INFO] Die Datei wurde gelöscht! 12.11.2005,17:33:46 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.NH.1! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001693.EXE [INFO] Die Datei wurde gelöscht! 12.11.2005,17:33:51 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Adload.j.1! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001697.EXE [INFO] Die Datei wurde gelöscht! 12.11.2005,17:33:54 [WARNUNG] Ist das Trojanische Pferd TR/IstBar.BZ.1! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001700.EXE [INFO] Die Datei wurde gelöscht! 12.11.2005,17:33:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.acx! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0001702.EXE [INFO] Die Datei wurde gelöscht! 12.11.2005,17:36:00 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.buy.1! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EF139FC-D368-45AD-B8C8-8C3AB82AB0C4}\RP6\A0003070.EXE Vorab schon mal ein dickes fettes dankeschön (hoffentlich nicht zu früh ;-) ) Grüßle Michelangelo Dieser Beitrag wurde am 12.11.2005 um 18:09 Uhr von michelangelo editiert.
|
|
|
||
12.11.2005, 18:33
Ehrenmitglied
Beiträge: 29434 |
#10
da war/ist mehr drauf, als ich annahm......
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung + Neustart wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 loeschen: c:\programme\surfaccuracy CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien kopiere hier die 4 Logs http://virus-protect.org/datfindbat.html scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2005, 15:34
Member
Themenstarter Beiträge: 23 |
#11
Hi Sabina
War fleisig Systemwiederherstellung O.K Surfaccuracy --> hab ich nicht gefunden Die 4 logs Datentr„ger in Laufwerk C: ist 431573 Volumeseriennummer: F8D2-E896 Verzeichnis von C:\WINDOWS\system32 13.11.2005 14:53 393.582 perfh009.dat 13.11.2005 14:53 61.870 perfc009.dat 13.11.2005 14:53 409.682 perfh007.dat 13.11.2005 14:53 74.136 perfc007.dat 13.11.2005 14:53 2.480 PerfStringBackup.INI 11.11.2005 20:57 23.392 nscompat.tlb 11.11.2005 20:57 16.832 amcompat.tlb 11.11.2005 20:12 57 mapisvc.inf 11.11.2005 19:06 4.212 zllictbl.dat 11.11.2005 17:59 1.158 wpa.dbl 04.11.2005 16:30 100 LuResult.txt 04.11.2005 11:19 180.240 FNTCACHE.DAT 03.11.2005 16:48 139.330 odyGina.dll 03.11.2005 16:48 532.558 odGinaLibrary.dll 03.11.2005 16:48 106.496 odyEvent.dll 02.11.2005 19:28 36.775 compare.dat 02.11.2005 19:27 320 $winnt$.inf 24.10.2005 12:19 492.544 WRLogonNtf.dll 24.10.2005 12:19 8.192 ssiefr.EXE 24.10.2005 12:19 17.920 wrlzma.dll 21.10.2005 15:50 102.912 islzma.dll 07.09.2005 14:56 333 $ncsp$.inf 07.09.2005 14:38 0 h323log.txt 07.09.2005 13:44 2.951 CONFIG.NT 07.09.2005 13:42 488 WindowsLogon.manifest 07.09.2005 13:42 488 logonui.exe.manifest 07.09.2005 13:42 749 wuaucpl.cpl.manifest 07.09.2005 13:42 749 nwc.cpl.manifest 07.09.2005 13:42 749 ncpa.cpl.manifest 07.09.2005 13:42 749 sapi.cpl.manifest 07.09.2005 13:42 749 cdplayer.exe.manifest 07.09.2005 13:41 21.740 emptyregdb.dat 23.08.2005 14:41 36.864 UnAudioNT.dll 01.08.2005 11:44 73.728 Oemdspif.dll 01.08.2005 11:44 648.000 ativvaxx.dll 01.08.2005 11:44 24.064 ativcoxx.dll 01.08.2005 11:44 17.408 atitvo32.dll 01.08.2005 11:44 94.208 atipdlxx.dll 01.08.2005 11:44 4.857.856 atioglxx.dll 01.08.2005 11:44 6.684.672 atioglx1.dll 01.08.2005 11:44 143.360 atikvmag.dll 01.08.2005 11:44 307.200 atiiiexx.dll 01.08.2005 11:44 95.617 atiicdxx.dat 01.08.2005 11:44 5.396 atifglpf.xml 01.08.2005 11:44 241.664 ATIDEMGR.dll 01.08.2005 11:44 53.248 ATIDDC.DLL 01.08.2005 11:44 2.360.736 ati3duag.dll 01.08.2005 11:44 25.088 Ati2mdxx.exe 01.08.2005 11:44 376.832 ati2evxx.exe Datentr„ger in Laufwerk C: ist 431573 Volumeseriennummer: F8D2-E896 Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp Datentr„ger in Laufwerk C: ist 431573 Volumeseriennummer: F8D2-E896 Verzeichnis von C:\WINDOWS 13.11.2005 14:48 345 OEWABLog.txt 13.11.2005 14:48 248 wmsetup.log 13.11.2005 14:48 0 0.log 13.11.2005 14:48 2.048 bootstat.dat 13.11.2005 10:49 7.702 SchedLgU.Txt 13.11.2005 10:49 161 WindowsUpdate.log 13.11.2005 10:49 13.872 ModemLog_Motorola SM56 Data Fax Modem.txt 12.11.2005 16:44 589 win.ini 11.11.2005 23:52 3.316 mozver.dat 11.11.2005 20:57 316.640 WMSysPr9.prx 08.11.2005 19:21 69 NeroDigital.ini 04.11.2005 20:04 335 mozregistry.dat 04.11.2005 16:06 0 msresearch1.dat 04.11.2005 16:05 40 teller2.chk 04.11.2005 16:05 38 drsmartload.dat 03.11.2005 16:54 0 nsreg.dat 03.11.2005 16:48 112 init.ini 03.11.2005 16:40 100.489 UninstallFirefox.exe 03.11.2005 13:30 400 ODBC.INI 24.10.2005 12:19 468.480 WRUninstall.dll 21.10.2005 15:55 155.648 ssleay32.dll 21.10.2005 15:55 684.032 libeay32.dll 07.09.2005 14:59 8.192 REGLOCS.OLD 07.09.2005 14:56 61 smscfg.ini 07.09.2005 14:45 676.296 SIGVERIF.TXT 07.09.2005 14:35 231 system.ini 07.09.2005 14:23 197.043 orun32.isu 07.09.2005 14:23 849 orun32.ini 07.09.2005 13:44 0 control.ini 07.09.2005 13:44 4.161 ODBCINST.INI 07.09.2005 13:42 749 WindowsShell.Manifest 07.09.2005 13:41 36 vb.ini 07.09.2005 13:41 37 vbaddin.ini 07.09.2005 13:40 0 T30DebugLogFile.txt 01.08.2005 07:59 65.536 sm56spn.dll 01.08.2005 07:59 49.152 sm56jpn.dll 01.08.2005 07:59 65.536 sm56itl.dll 01.08.2005 07:59 544.768 sm56hlpr.exe 01.08.2005 07:59 65.536 sm56ger.dll 01.08.2005 07:59 65.536 sm56fra.dll 01.08.2005 07:59 65.536 sm56eng.dll 01.08.2005 07:59 45.056 sm56cht.dll 01.08.2005 07:59 45.056 sm56chs.dll 01.08.2005 07:59 65.536 sm56brz.dll 01.08.2005 07:36 2.359.350 fsc_swans.bmp 27.05.2005 00:22 10.752 hh.exe 07.04.2005 19:46 1.035.264 explorer.exe 10.03.2005 19:02 114.828 UNNeroVision.cfg 10.03.2005 19:02 24.014 UNNeroBurnRights.cfg 17.02.2005 12:21 2.682.880 UNNeroVision.exe 20.01.2005 13:29 2.658.304 UNNeroBurnRights.exe 30.11.2004 18:14 67.990 UNNVEContent.cfg 13.08.2004 12:33 1.208 mgxoschk.ini 04.08.2004 13:00 25.600 twunk_32.exe 04.08.2004 13:00 1.405 msdfmap.ini 04.08.2004 13:00 49.680 twunk_16.exe 04.08.2004 13:00 50.688 twain_32.dll 04.08.2004 13:00 15.872 TASKMAN.EXE 04.08.2004 13:00 70.144 NOTEPAD.EXE 04.08.2004 13:00 94.800 twain.dll 04.08.2004 13:00 82.944 clock.avi 04.08.2004 13:00 2 desktop.ini 04.08.2004 13:00 153.600 regedit.exe 04.08.2004 13:00 18.944 vmmreg32.dll 04.08.2004 13:00 153.600 R.COM 04.08.2004 13:00 153.600 REGEDIT.COM 04.08.2004 13:00 80 explorer.scf 04.08.2004 13:00 257.568 winhelp.exe 04.08.2004 13:00 288.768 winhlp32.exe 04.08.2004 13:00 48.680 winnt.bmp 04.08.2004 13:00 48.680 winnt256.bmp 04.08.2004 13:00 34.818 wmprfDEU.prx 04.08.2004 13:00 707 _default.pif 14.05.2004 17:12 1.916.928 UNNVEContent.exe 17.12.2003 10:50 19.968 LOGI_MWX.EXE 17.11.1998 12:44 328.704 IsUn0407.exe 76 Datei(en) 16.489.837 Bytes 0 Verzeichnis(se), 72.159.969.280 Bytes frei Datentr„ger in Laufwerk C: ist 431573 Volumeseriennummer: F8D2-E896 Verzeichnis von C:\ 13.11.2005 15:20 0 sys.txt 13.11.2005 15:19 4.039 system.txt 13.11.2005 15:19 126 systemtemp.txt 13.11.2005 15:18 92.020 system32.txt 13.11.2005 14:47 1.073.139.712 hiberfil.sys 13.11.2005 14:47 1.610.612.736 pagefile.sys 12.11.2005 17:49 0 23990098.$$$ 12.11.2005 17:49 6 AVPCallback.log 12.11.2005 13:56 18 lo2.txt 12.11.2005 13:53 72 vx2logs.txt 11.11.2005 23:10 11.856 CLDMA.LOG 02.11.2005 19:28 27 expand.txt 02.11.2005 19:27 211 boot.ini 07.09.2005 14:34 217 via.log 07.09.2005 14:29 185 ati.log 07.09.2005 14:10 251.712 ntldr 07.09.2005 13:44 0 MSDOS.SYS 07.09.2005 13:44 0 IO.SYS 07.09.2005 13:44 0 AUTOEXEC.BAT 07.09.2005 13:44 0 CONFIG.SYS 07.09.2005 11:00 18.291 Prodlog.txt 07.09.2005 11:00 1.273 868000431573.dat 11.10.2004 06:18 19 LANG.TXT 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 2 oem.tag 04.08.2004 13:00 4.952 bootfont.bin 13.03.2002 13:16 11 Language.txt 27 Datei(en) 2.684.185.049 Bytes 0 Verzeichnis(se), 72.159.969.280 Bytes frei Ewido scan war auch erfolgreich. Anbei die Reports --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 15:04:40, 13.11.2005 + Report-Checksumme: B09A2289 + Scanergebnis: C:\!KillBox\guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/afitvo32.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/akl.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/dnr8019ue.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/fplm0331e.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/gekrsrc.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/irn0l55m1.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/kvdcz1.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/mvj6l91s1.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/n28o0cl3efq.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/uudmxfrm.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/vbmdbg.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wanetmgr.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wgfeman.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wistream.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/i2600cjmefoa0.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/lucalspl.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wu2_32.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/myc71u.dll -> Spyware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen\Desktop\l2mfix\backup.zip/wfsdmoe2.dll -> Spyware.Look2Me : Gesäubert mit Backup :mozilla.7:C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Mozilla\Firefox\Profiles\5abkeu3m.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup :mozilla.12:C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Mozilla\Firefox\Profiles\5abkeu3m.default\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup C:\WINDOWS\system32\m246lchs1f46.dll -> Spyware.Look2Me : Gesäubert mit Backup ::Report Ende --------------------------------------------------------- ewido security suite - Verbindungs Report --------------------------------------------------------- + Erstellt am: 15:05:35, 13.11.2005 + Report-Checksumme: D2F05AD1 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:18350 0.0.0.0:0 LISTENING TCP 0.0.0.0:50284 0.0.0.0:0 LISTENING TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING TCP 127.0.0.1:1031 127.0.0.1:18350 ESTABLISHED TCP 127.0.0.1:12346 0.0.0.0:0 LISTENING TCP 127.0.0.1:18350 127.0.0.1:1031 ESTABLISHED UDP 0.0.0.0:445 UDP 0.0.0.0:500 UDP 0.0.0.0:4500 UDP 0.0.0.0:50024 UDP 0.0.0.0:50331 UDP 0.0.0.0:50902 UDP 0.0.0.0:53182 UDP 0.0.0.0:59894 UDP 0.0.0.0:63052 UDP 127.0.0.1:123 UDP 127.0.0.1:1025 UDP 127.0.0.1:1900 So das wars Danke Dir für Deine Hilfe Ist da noch was im argen? Was denkst Du Grüße Michelangelo |
|
|
||
13.11.2005, 17:44
Ehrenmitglied
Beiträge: 29434 |
#12
loesche mit der Killbox: C:\WINDOWS\mozregistry.dat C:\WINDOWS\msresearch1.dat C:\WINDOWS\teller2.chk C:\WINDOWS\drsmartload.dat das kann ich nicht einordnen:versuche mal rauszubekommen, wozu das gehoert C:\WINDOWS\system32\odyGina.dll C:\WINDOWS\system32\odGinaLibrary.dll C:\WINDOWS\system32\odyEvent.dll C:\WINDOWS\system32\compare.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2005, 18:53
Member
Themenstarter Beiträge: 23 |
#13
Hi Sabina
Danke für die Tipps C:\WINDOWS\mozregistry.dat C:\WINDOWS\msresearch1.dat C:\WINDOWS\teller2.chk C:\WINDOWS\drsmartload.dat Habe ich gelöscht C:\WINDOWS\system32\odyGina.dll --> Odyseey GINA Library C:\WINDOWS\system32\odGinaLibrary.dll --> Odyseey Logon helper C:\WINDOWS\system32\odyEvent.dll --> Odyseey Gina Hook Dieses Programme sind von Funk Software Inc. Gehören wohl zu meinem WLan Programm. Compare.Dat ist eine genaue Beschreibung meiner Installierten Hard und Software als ich mein Notebook zum ersten mal eingeschaltet habe. Da stellt sich mir die Frage wo ich denn eigentlich das ganze Zeug her habe. Habe nur ein wenig mit Modem rumgesurft und schon habe ich tonnenweise Zeug auf dem Notebook. Kann davon beim Kauf schon was drauf gewesen sein? War es das oder rätst Du mir zu einem weitern check ? Grüße Michelangelo |
|
|
||
15.11.2005, 01:04
Ehrenmitglied
Beiträge: 29434 |
#14
buegel mal mit dem Kaspersky drueber und poste den scanreport
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.11.2005, 23:55
Member
Themenstarter Beiträge: 23 |
#15
Hi Sabina
Der Kapersky Scan war absolut sauber. Sieht so aus als wäre jetzt alles O.K Großes dickes extra Sonderlob. Ok habe das was Ihr so einem ratet an bzw abgestellt. (Active X, eingeschränkter Benutzer, Virenscanner, Firewall usw.) Was fehlt noch zu einem sicheren System ? Ansonsten sieht alles prima aus. Womöglich wirst Du mir noch fehlen ;-) Grüße Michelangelo |
|
|
||
Habe jetzt auch dies nervigen pop ups auf meiner maschine. Habe mich an eure Ratschläge gehalten und das was ihr so als Tipps gegeben habt ausprobiert. Leider ohne erfolg. Anbei
Hijack log
Logfile of HijackThis v1.99.1
Scan saved at 00:30:29, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe /startupscan
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\r4p8le7u1h.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
L2mfix report
L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Controls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\g2jo0c13ef.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{18C5B6CE-9252-A148-54AA-0F42E8DEB20A}"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{2F603045-309F-11CF-9774-0020AFD0CFF6}"="Synaptics Control Panel"
"{B327765E-D724-4347-8B16-78AE18552FC3}"="NeroDigitalIconHandler"
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}"="NeroDigitalPropSheetHandler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{AFE1261E-F577-475E-87C4-D8F5E2B4A240}"=""
"{ECE06138-A711-4117-9533-C6170666F0FF}"=""
"{F970C61A-EE90-4840-98C6-0729F25BAACF}"=""
"{87C70D24-A79D-4F8F-A09F-7D19F2339C93}"=""
"{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}"=""
"{3F751102-0CEA-476D-A20F-08644D45F640}"=""
**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}]
@=""
"IDEx"="ADDR"
[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{AFE1261E-F577-475E-87C4-D8F5E2B4A240}\InprocServer32]
@="C:\\WINDOWS\\system32\\ilgutil.dll"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{ECE06138-A711-4117-9533-C6170666F0FF}\InprocServer32]
@="C:\\WINDOWS\\system32\\mgctf.dll"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{F970C61A-EE90-4840-98C6-0729F25BAACF}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{87C70D24-A79D-4F8F-A09F-7D19F2339C93}\InprocServer32]
@="C:\\WINDOWS\\system32\\wanetmgr.dll"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{4F9A7188-619A-4FE4-A94F-F06D9BDBD1DE}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{3F751102-0CEA-476D-A20F-08644D45F640}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
afitvo32.dll Mon 7 Nov 2005 19:21:52 ..S.R 235.860 230,33 K
dnr801~1.dll Fri 11 Nov 2005 19:57:40 ..S.R 236.751 231,20 K
fplm03~1.dll Fri 11 Nov 2005 18:20:06 ..S.R 235.860 230,33 K
g2jo0c~1.dll Sat 12 Nov 2005 0:07:14 ..... 234.146 228,66 K
gekrsrc.dll Sat 12 Nov 2005 0:09:00 ..S.R 234.146 228,66 K
irn0l5~1.dll Fri 11 Nov 2005 20:40:28 ..S.R 235.860 230,33 K
kvdcz1.dll Mon 7 Nov 2005 21:51:48 ..S.R 237.016 231,46 K
mgctf.dll Sat 12 Nov 2005 0:17:12 ..... 234.146 228,66 K
mvj6l9~1.dll Fri 11 Nov 2005 19:12:46 ..S.R 234.057 228,57 K
n28o0c~1.dll Tue 8 Nov 2005 18:34:40 ..S.R 237.016 231,46 K
odgina~1.dll Thu 3 Nov 2005 16:48:14 A.... 532.558 520,07 K
odyevent.dll Thu 3 Nov 2005 16:48:12 A.... 106.496 104,00 K
odygina.dll Thu 3 Nov 2005 16:48:14 A.... 139.330 136,06 K
r4p8le~1.dll Sat 12 Nov 2005 0:16:00 ..S.R 234.146 228,66 K
unaudi~1.dll Tue 23 Aug 2005 14:41:48 A.... 36.864 36,00 K
uudmxfrm.dll Fri 4 Nov 2005 20:47:56 ..S.R 236.055 230,52 K
vbmdbg.dll Fri 11 Nov 2005 19:12:48 ..S.R 235.860 230,33 K
wanetmgr.dll Fri 11 Nov 2005 21:58:26 ..S.R 234.146 228,66 K
wgfeman.dll Fri 11 Nov 2005 23:41:14 ..S.R 234.146 228,66 K
wistream.dll Fri 11 Nov 2005 18:01:04 ..S.R 235.860 230,33 K
20 items found: 20 files (14 H/S), 0 directories.
Total of file sizes: 4.580.319 bytes 4,37 M
Locate .tmp files:
C:\WINDOWS\SYSTEM32\
guard.tmp Sat 12 Nov 2005 0:20:14 ..S.R 234.146 228,66 K
1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 234.146 bytes 228,66 K
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist 431573
Volumeseriennummer: F8D2-E896
Verzeichnis von C:\WINDOWS\System32
12.11.2005 00:20 234.146 guard.tmp
12.11.2005 00:15 234.146 r4p8le7u1h.dll
12.11.2005 00:08 234.146 gekrsrc.dll
11.11.2005 23:41 234.146 wgfeman.dll
11.11.2005 21:58 234.146 wanetmgr.dll
11.11.2005 20:58 <DIR> dllcache
11.11.2005 20:40 235.860 irn0l55m1.dll
11.11.2005 19:57 236.751 dnr8019ue.dll
11.11.2005 19:12 235.860 vbmdbg.dll
11.11.2005 19:12 234.057 mvj6l91s1.dll
11.11.2005 18:20 235.860 fplm0331e.dll
11.11.2005 18:01 235.860 wistream.dll
08.11.2005 18:34 237.016 n28o0cl3efq.dll
07.11.2005 21:51 237.016 kvdcz1.dll
07.11.2005 19:21 235.860 afitvo32.dll
04.11.2005 20:47 236.055 uudmxfrm.dll
07.09.2005 13:48 <DIR> Microsoft
15 Datei(en) 3.530.925 Bytes
2 Verzeichnis(se), 71.171.526.656 Bytes frei
Adaware add on Meldung
Posssible new VX2 variant file:
C:\WINDOWS\system32\r4p8le7u1h.dll
so das waren meine gesammelten Werke.
Kann damit jemand etwas anfangen.
Im voraus besten Dank
Euer Michelangelo