about: blank _ Win32:Startpage-114 _ Win32:Hoaxalarm-K

#1 Hallo,

seid gestern bekomme ich bei jedem Startseitenaufruf des Internet Exploreres einen weiße
Seite, d.h. "about: blank". Wenn ich die Startseite einstelle, bleibt diese auch erhalten, allerdings nur
bis zu nächsten Systemsart. Dann ist die Startseite wieder "about: blank".

... Sbybot, Adaware, CWSchredder konnten nichts finden. Hier die Logfile von meinem Virenscanner (avast!):

11.11.2005 17:33:26 SYSTEM 1476 Sign of "Win32:Hoaxalarm-K [Trj]" has been found in "C:\WINDOWS\tool2.exe" file.
11.11.2005 17:33:58 SYSTEM 1476 Sign of "Win32:Startpage-114 [Trj]" has been found in "C:\WINDOWS\system32\paytime.exe\[FSG]" file.
11.11.2005 18:11:08 DE 984 Sign of "Win32:Startpage-114 [Trj]" has been found in "C:\Dokumente und Einstellungen\DE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HAVC1AV\paytime[1].txt\[FSG]" file.
11.11.2005 18:12:35 DE 984 Sign of "Win32:Hoaxalarm-K [Trj]" has been found in "C:\Dokumente und Einstellungen\DE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHMVKPYF\tool2[1].txt" file.


... Und hier die Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:03:39, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
f:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
f:\Programme\Alwil Software\Avast4\ashMaiSv.exe
f:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\DE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - f:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - f:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - f:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


-------------------------


... Ich hoffe, dass Ihr mir weiterhelfen könnt!




Viele Grüße,

Dave

#2 Loesche die von Avast gemeldeten Dateien bitte im abgesicherten Modus und poste alle logs von Findbat.

http://virus-protect.org/datfindbat.html
__________
MfG Ralf
SEO-Spam Hunter

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4029-18F2

Verzeichnis von C:\WINDOWS\SYSTEM32

12.11.2005 15:31 3.328 CONFIG.NT
12.11.2005 10:24 18.042 OODBS.lor
10.11.2005 18:30 2.206 wpa.dbl
02.11.2005 13:44 242.328 FNTCACHE.DAT
02.11.2005 08:57 43.520 CmdLineExt03.dll
28.10.2005 19:47 5.618 jupdate-1.5.0_05-b05.log
28.10.2005 14:07 50.866 perfc009.dat
28.10.2005 14:07 61.492 perfc007.dat
28.10.2005 14:07 769.662 PerfStringBackup.INI
28.10.2005 14:07 374.398 perfh009.dat
28.10.2005 14:07 384.790 perfh007.dat
26.10.2005 21:06 23.392 nscompat.tlb
26.10.2005 21:06 16.832 amcompat.tlb
26.10.2005 19:06 251 spupdwxp.log
26.10.2005 18:24 25.065 wmpscheme.xml
26.10.2005 18:21 2.905 $winnt$.inf
26.10.2005 18:16 2.188 AUTOEXEC.NT
26.10.2005 18:16 101.888 migicons.exe
26.10.2005 18:14 488 logonui.exe.manifest
26.10.2005 18:14 488 WindowsLogon.manifest
26.10.2005 18:14 749 ncpa.cpl.manifest
26.10.2005 18:14 749 cdplayer.exe.manifest
26.10.2005 18:14 749 wuaucpl.cpl.manifest
26.10.2005 18:14 749 nwc.cpl.manifest
26.10.2005 18:14 749 sapi.cpl.manifest
26.10.2005 18:11 21.740 emptyregdb.dat
26.10.2005 18:08 0 h323log.txt
26.10.2005 17:45 12.906 folder.htt
05.10.2005 09:36 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 05:06 8.491.520 shell32.dll
10.09.2005 03:54 2.067.968 cdosys.dll
03.09.2005 01:53 605.696 urlmon.dll
03.09.2005 01:53 1.484.288 shdocvw.dll
03.09.2005 01:53 205.312 dxtrans.dll
03.09.2005 01:53 251.392 iepeers.dll
03.09.2005 01:53 146.432 msrating.dll
03.09.2005 01:53 664.064 wininet.dll
03.09.2005 01:53 530.432 mstime.dll
03.09.2005 01:53 39.424 pngfilt.dll
03.09.2005 01:53 96.768 inseng.dll
03.09.2005 01:53 448.512 mshtmled.dll
03.09.2005 01:53 55.808 extmgr.dll
03.09.2005 01:53 474.112 shlwapi.dll
03.09.2005 01:53 1.055.744 danim.dll
03.09.2005 01:53 152.064 cdfview.dll
03.09.2005 01:53 1.019.904 browseui.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll
30.08.2005 05:55 1.292.800 quartz.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
23.08.2005 05:39 124.416 umpnpmgr.dll
22.08.2005 20:31 197.632 netman.dll
11.08.2005 17:11 65.024 nwwks.dll
27.07.2005 23:43 520.456 LegitCheckControl.dll
26.07.2005 06:39 11.776 xolehlp.dll
26.07.2005 06:39 101.376 txflog.dll
26.07.2005 06:39 397.824 rpcss.dll
26.07.2005 06:39 74.752 olecli32.dll
26.07.2005 06:39 1.285.120 ole32.dll
26.07.2005 06:39 37.888 olecnv32.dll
26.07.2005 06:39 91.136 mtxoci.dll
26.07.2005 06:39 66.560 mtxclu.dll
26.07.2005 06:39 161.280 msdtcuiu.dll
26.07.2005 06:39 425.472 msdtcprx.dll
26.07.2005 06:39 945.152 msdtctm.dll
26.07.2005 06:39 540.160 comuid.dll
26.07.2005 06:39 1.267.200 comsvcs.dll
26.07.2005 06:39 243.200 es.dll
26.07.2005 06:39 60.416 colbact.dll
26.07.2005 06:39 97.792 comrepl.dll
26.07.2005 06:39 110.080 clbcatex.dll
26.07.2005 06:39 498.688 clbcatq.dll
26.07.2005 06:39 225.792 catsrv.dll
26.07.2005 06:39 625.152 catsrvut.dll
12.07.2005 18:04 23.304 GWFSPidGen.dll
09.07.2005 11:03 433.152 aswBoot.exe
09.07.2005 10:56 90.112 AVASTSS.scr
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 546.304 hhctrl.ocx
26.05.2005 04:19 173.536 wuweb.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 174.872 wuaucpl.cpl
17.05.2005 02:42 17.408 xpsp3res.dll
11.05.2005 04:30 78.336 telnet.exe
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 2.890.240 msi.dll
28.03.2005 19:47 626.688 contfilt.dll
24.03.2005 16:08 278.528 mwtsp.dll
24.03.2005 16:05 77.824 mwnsp.dll
21.03.2005 08:17 4.096 oodbsrs.dll
21.03.2005 08:16 111.166 oodbs.exe
21.03.2005 08:13 225.280 oodag.exe
21.03.2005 08:12 10.240 oodagrs.dll
21.03.2005 08:12 11.264 oodagmg.dll
21.03.2005 07:20 9.216 ootmapi.dll
17.03.2005 14:39 1.146.320 FM20.DLL
02.03.2005 20:09 56.832 authz.dll
02.03.2005 20:09 578.560 user32.dll
02.03.2005 20:06 2.181.632 ntoskrnl.exe
02.03.2005 20:06 2.059.136 ntkrnlpa.exe
02.03.2005 20:06 1.836.416 win32k.sys
28.02.2005 12:37 50.688 wbhelp2.dll
28.02.2005 12:37 606.293 wbocx.ocx
25.02.2005 05:34 22.752 spupdsvc.exe
24.02.2005 20:34 15.584 spmsg.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4029-18F2

Verzeichnis von C:\DOKUME~1\DE\LOKALE~1\Temp

12.11.2005 16:28 148.229 MWAV.LOG
12.11.2005 16:28 864 mwXface.log
12.11.2005 16:24 241.664 MYDB.DLL
12.11.2005 16:24 3.007 hpodvd09.log
07.11.2005 16:47 373.824 mwavscan.com
07.11.2005 16:36 37.917 unp012.avc
07.11.2005 16:36 1.437 daily-ex.avc
07.11.2005 16:36 8.797 unp000.avc
07.11.2005 16:36 22.353 daily.avc
07.11.2005 16:36 47.278 malw004.avc
07.11.2005 16:36 43.435 unp024.avc
07.11.2005 16:36 109.301 troj003.avc
07.11.2005 16:36 45.969 unp026.avc
07.11.2005 16:36 73.725 virus003.avc
07.11.2005 16:36 33.879 ext005.avc
07.11.2005 16:36 32.635 worm006.avc
07.11.2005 16:36 21.300 fa.avc
07.11.2005 16:36 49.342 worm005.avc
07.11.2005 16:36 35.823 virus020.avc
07.11.2005 16:36 92.343 krnmacro.avc
07.11.2005 16:36 81.511 troj034.avc
06.11.2005 06:07 118.784 msvlclnt.dll
06.11.2005 06:06 41.024 Getvlist.exe
02.11.2005 13:21 48.090 ext004.avc
02.11.2005 13:21 48.314 malw003.avc
02.11.2005 13:21 196.522 unp025.avc
02.11.2005 13:21 56.623 troj022.avc
02.11.2005 13:21 48.167 ext002.avc
02.11.2005 13:21 54.697 malw002.avc
02.11.2005 13:21 14.226 mail.avc
02.11.2005 13:21 218.334 troj033.avc
02.11.2005 13:21 113.508 krn001.avc
26.10.2005 11:22 49.244 troj032.avc
26.10.2005 11:22 48.075 ext003.avc
26.10.2005 11:22 54.896 unp003.avc
26.10.2005 11:22 50.124 troj013.avc
26.10.2005 11:22 50.649 troj007.avc
26.10.2005 11:22 6.055 smart.avc
26.10.2005 11:22 29.566 gen004.avc
26.10.2005 11:22 61.650 krnunp.avc
26.10.2005 11:22 77.389 virus012.avc
21.10.2005 17:01 118.031 File2.sdb
21.10.2005 17:01 145.242 spydb.old
21.10.2005 17:01 561.881 Cid.sdb
21.10.2005 17:01 388.146 Dir.sdb
21.10.2005 17:01 1.690.977 File1.sdb
21.10.2005 17:01 131.308 Spyware.sdb
21.10.2005 17:01 145.242 spydb.avs
21.10.2005 16:36 68.829 unp010.avc
21.10.2005 16:36 43.378 troj027.avc
21.10.2005 16:36 50.028 troj031.avc
21.10.2005 16:36 50.443 troj018.avc
21.10.2005 16:36 50.224 worm001.avc
21.10.2005 16:36 56.363 unp006.avc
21.10.2005 16:36 41.440 troj028.avc
13.10.2005 11:36 69.441 ca.avc
11.10.2005 11:05 74.103 virus010.avc
11.10.2005 11:05 44.571 unp018.avc
08.10.2005 17:35 48.724 troj030.avc
08.10.2005 17:35 50.740 unp001.avc
08.10.2005 17:35 52.101 unp009.avc
06.10.2005 10:42 61.108 unp014.avc
06.10.2005 10:42 50.654 unp022.avc
04.10.2005 11:20 47.070 troj026.avc
28.09.2005 11:21 49.127 ext001.avc
27.09.2005 11:25 8.717 kernel.avc
27.09.2005 11:25 27.019 unp004.avc
26.09.2005 12:30 75.027 virus014.avc
26.09.2005 12:30 50.208 troj010.avc
26.09.2005 12:30 50.231 troj020.avc
26.09.2005 12:30 17.722 ext999.avc
21.09.2005 15:41 81.306 unp023.avc
19.09.2005 10:36 49.994 troj019.avc
19.09.2005 10:36 50.490 troj029.avc
16.09.2005 10:51 101.225 troj001.avc
13.09.2005 12:10 79.269 virus017.avc
12.09.2005 12:09 43.035 gen999.avc
09.09.2005 11:22 51.447 troj025.avc
08.09.2005 11:30 57.965 unp013.avc
06.09.2005 10:58 55.660 troj023.avc
04.09.2005 23:12 56.341 troj024.avc
03.09.2005 12:49 80.833 virus016.avc
03.09.2005 12:49 41.540 gen003.avc
31.08.2005 10:44 49.965 troj015.avc
30.08.2005 10:27 75.197 virus008.avc
29.08.2005 10:49 1.970 eicar.avc
29.08.2005 10:49 1.570 avp.set
29.08.2005 10:49 47.309 gen002.avc
26.08.2005 12:06 50.406 troj016.avc
26.08.2005 12:06 50.483 troj008.avc
26.08.2005 12:06 51.801 troj011.avc
24.08.2005 13:01 78.228 virus013.avc
20.08.2005 18:18 9.704 config.lan
20.08.2005 14:48 59.950 malw001.avc
18.08.2005 17:45 71.736 unp002.avc
17.08.2005 16:36 49.623 troj012.avc
17.08.2005 16:36 50.230 troj021.avc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:33 34.766 gen001.avc
13.08.2005 19:43 50.873 troj009.avc
12.08.2005 19:01 51.739 worm003.avc
12.08.2005 19:01 80.280 unp019.avc
10.08.2005 18:32 76.290 virus015.avc
22.07.2005 17:12 1.062 000B45EB.key
21.07.2005 15:12 52.439 troj004.avc
21.07.2005 15:12 70.881 unp016.avc
21.07.2005 15:12 50.121 troj017.avc
21.07.2005 15:12 31.324 x-files.avc
21.07.2005 15:12 571 daily-x.avc
05.07.2005 18:33 51.462 troj005.avc
24.06.2005 11:14 71.438 virus009.avc
23.06.2005 10:41 61.884 unp005.avc
18.06.2005 11:21 51.753 troj002.avc
16.06.2005 12:31 56.632 unp008.avc
15.06.2005 15:09 62.390 unp015.avc
13.06.2005 13:11 48.738 krnexe32.avc
09.06.2005 23:46 50.865 troj014.avc
09.06.2005 10:07 39.097 unp020.avc
08.06.2005 10:11 33.196 unp017.avc
08.06.2005 10:11 30.417 unp021.avc
06.06.2005 17:08 26.812 krnengn.avc
31.05.2005 10:06 78.449 virus011.avc
23.05.2005 10:41 55.442 unp011.avc
23.05.2005 10:41 52.495 worm002.avc
09.05.2005 21:24 32.823 krnexe.avc
05.05.2005 14:29 53.724 worm004.avc
03.05.2005 21:49 81.734 unp007.avc
16.03.2005 10:42 76.795 virus018.avc
16.03.2005 10:42 11.816 ocr.avc
10.03.2005 22:22 76.112 virus006.avc
10.03.2005 22:22 76.504 virus002.avc
10.03.2005 22:22 76.584 virus001.avc
10.03.2005 22:22 5.333 worm999.avc
10.03.2005 22:22 78.954 virus004.avc
10.03.2005 22:22 73.431 virus005.avc
10.03.2005 22:22 6.582 avp.vnd
10.03.2005 22:22 37.618 krnjava.avc
10.03.2005 22:22 5.274 krndos.avc
11.11.2004 13:36 143.416 kavss.dll
05.11.2004 16:38 159.865 kavssd.dll
05.11.2004 16:20 36.921 kavssi.dll
18.08.2004 12:05 102.481 kavvlg.dll
17.08.2004 18:26 53.306 kavssdi.dll
17.08.2004 17:24 20.536 kavss.exe
30.05.2003 17:04 9.216 virus.avi
13.03.2003 16:16 304 keyid.dat
01.03.2003 14:20 7.946 main.avi
11.07.2002 14:34 36.928 ipc.dll
07.12.1999 04:00 28.944 psapi.dll
14.10.1996 07:08 173.328 riched32.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4029-18F2

Verzeichnis von C:\WINDOWS

12.11.2005 16:08 157 wiadebug.log
12.11.2005 16:08 0 0.log
12.11.2005 16:08 2.048 bootstat.dat
12.11.2005 15:40 32.563 SchedLog.Txt
12.11.2005 15:39 50 wiaservc.log
12.11.2005 15:39 413.377 WindowsUpdate.log
12.11.2005 15:27 6.661 setupapi.log
12.11.2005 15:24 478 ODBC.INI
12.11.2005 15:18 1.346 win.ini
12.11.2005 14:34 4.165 mailremv.log
12.11.2005 14:34 26.070 ESCAN.LOG
12.11.2005 14:34 561 system.ini
12.11.2005 14:34 288 INST_TSP.LOG
12.11.2005 14:30 321 FLASH.LOG
12.11.2005 14:27 245.817 REGBK00.ZIP
12.11.2005 14:27 20.648.822 hkcrRT.reg
12.11.2005 14:20 1.005 frights.log
12.11.2005 12:10 361 MAILINST.LOG
12.11.2005 12:09 40.130 winsbak2.reg
12.11.2005 12:09 3.540 winsbak.reg
12.11.2005 11:45 0 Lic.xxx
11.11.2005 17:34 2.033 hosts
11.11.2005 17:33 3.063 secure32.html
11.11.2005 17:33 0 uniq
07.11.2005 16:56 43 gswin32.ini
02.11.2005 13:10 961 IE4 Error Log.txt
28.10.2005 14:18 69.488 hpoins05.dat
28.10.2005 08:52 123 setup.log
26.10.2005 21:26 12.204 msgsocm.log
26.10.2005 21:26 13.899 ocmsn.log
26.10.2005 21:26 247.390 FaxSetup.log
26.10.2005 21:26 53.419 ntdtcsetup.log
26.10.2005 21:26 114.404 tsoc.log
26.10.2005 21:26 28.733 KB900725.log
26.10.2005 21:26 39.296 netfxocm.log
26.10.2005 21:26 85.546 msmqinst.log
26.10.2005 21:26 17.744 medctroc.Log
26.10.2005 21:26 317.342 iis6.log
26.10.2005 21:26 11.324 tabletoc.log
26.10.2005 21:26 13.372 updspapi.log
26.10.2005 21:26 26.137 KB905749.log
26.10.2005 21:26 1.393 imsins.BAK
26.10.2005 21:26 22.404 KB896688.log
26.10.2005 21:25 20.626 KB904706.log
26.10.2005 21:25 20.932 KB905414.log
26.10.2005 21:25 20.112 KB901017.log
26.10.2005 21:25 20.098 KB899589.log
26.10.2005 21:25 24.481 KB902400.log
26.10.2005 21:24 16.562 KB894391.log
26.10.2005 21:24 14.740 KB896423.log
26.10.2005 21:24 14.234 KB899587.log
26.10.2005 21:24 13.729 KB899591.log
26.10.2005 21:24 13.537 KB893756.log
26.10.2005 21:23 13.531 KB896358.log
26.10.2005 21:23 17.057 KB890859.log
26.10.2005 21:07 242 wmsetup10.log
26.10.2005 21:06 316.640 WMSysPr9.prx
26.10.2005 20:55 12.668 KB901214.log
26.10.2005 20:55 12.882 KB893066.log
26.10.2005 20:54 12.534 KB896428.log
26.10.2005 20:54 12.873 KB896422.log
26.10.2005 20:54 13.346 KB890046.log
26.10.2005 20:54 12.307 KB885250.log
26.10.2005 20:54 12.377 KB885835.log
26.10.2005 20:54 11.737 KB887742.log
26.10.2005 20:54 11.188 KB888113.log
26.10.2005 20:53 11.171 KB891781.log
26.10.2005 20:53 11.135 KB887472.log
26.10.2005 20:53 11.097 KB888302.log
26.10.2005 20:53 10.609 KB885836.log
26.10.2005 20:53 11.040 KB887797.log
26.10.2005 20:53 6.869 KB886185.log
26.10.2005 20:53 10.603 KB873339.log
26.10.2005 20:42 6.843 KB898461.log
26.10.2005 20:37 8.952 Windows Update.log
26.10.2005 20:37 2.112 vminst.log
26.10.2005 20:37 6.378 KB893803v2.log
26.10.2005 19:25 0 PestPatrol5.INI
26.10.2005 19:06 28.950 spupdsvc.log
26.10.2005 19:00 200 cmsetacl.log
26.10.2005 18:59 1.330 sessmgr.setup.log
26.10.2005 18:22 8.192 REGLOCS.OLD
26.10.2005 18:16 405 commigrate.log
26.10.2005 18:16 264 desktop.ini
26.10.2005 18:15 0 control.ini
26.10.2005 18:15 299.552 WMSysPrx.prx
26.10.2005 18:15 4.161 ODBCINST.INI
26.10.2005 18:14 749 WindowsShell.Manifest
26.10.2005 18:11 36 vb.ini
26.10.2005 18:11 37 vbaddin.ini
26.10.2005 18:08 0 Sti_Trace.log
26.10.2005 18:05 1.740 regopt.log
26.10.2005 17:57 54 WAVEMIX.INI
26.10.2005 17:57 11.398 WINNT32.LOG
26.10.2005 17:57 148 wsdu.log
26.10.2005 17:56 2.805 upgrade.htm
26.10.2005 17:56 2.609 upgrade.txt
26.10.2005 17:55 330 mqw9xmig.log
26.10.2005 17:48 0 NDISLOG.TXT
26.10.2005 17:48 83.536 ShellIconCache
26.10.2005 17:47 98 setup.old
26.10.2005 17:45 225 TELEPHON.INI
26.10.2005 17:45 69.906 Default.sfc
26.10.2005 17:45 208.928 HWINFO.DAT
26.10.2005 17:45 12.906 folder.htt
26.10.2005 17:45 86 SYSTEM.CB
26.10.2005 17:44 0 progman.ini
26.10.2005 17:44 208 WININIT.BAK
26.10.2005 17:44 120 PROTOCOL.INI
26.10.2005 17:43 2.978 ttfCache
26.10.2005 17:39 26 MSOFFICE.INI
26.10.2005 17:39 28 QTW.INI
15.09.2005 13:35 50 UNNeroMediaHome.cfg
12.09.2005 15:13 233.472 UNNeroMediaHome.exe
12.09.2005 15:13 233.472 UNNeroVision.exe
12.09.2005 15:13 233.472 UNNeroShowTime.exe
12.09.2005 15:13 233.472 UNRecode.exe
12.09.2005 15:13 233.472 UNNeroBackItUp.exe
30.08.2005 20:37 50 UNNeroVision.cfg
30.08.2005 20:37 50 UNNeroShowTime.cfg
30.08.2005 20:36 50 UNRecode.cfg
30.08.2005 20:33 50 UNNeroBackItUp.cfg
27.05.2005 01:22 10.752 hh.exe
05.05.2005 12:13 30.720 killproc.exe
24.03.2005 16:08 25.088 inst_tsp.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4029-18F2

Verzeichnis von C:\

12.11.2005 16:50 0 sys.txt
12.11.2005 16:49 10.476 system.txt
12.11.2005 16:48 7.600 systemtemp.txt
12.11.2005 16:47 98.834 system32.txt
12.11.2005 16:28 4 AVPCallback.log
12.11.2005 16:08 402.653.184 pagefile.sys
12.11.2005 15:40 267.964.416 hiberfil.sys
26.10.2005 19:00 221 boot.ini
26.10.2005 18:53 47.564 ntdetect.com
26.10.2005 18:53 251.184 ntldr
26.10.2005 17:56 512 BOOTSECT.DOS
26.10.2005 17:46 49.152 VIDEOROM.BIN
26.10.2005 17:46 100 CONFIG.SYS
26.10.2005 17:46 134 AUTOEXEC.BAT
26.10.2005 17:44 1.676 MSDOS.SYS
26.10.2005 17:41 1.086 FRUNLOG.TXT
18.08.2001 10:00 4.952 bootfont.bin
15.05.1998 20:01 222.390 IO.SYS

#4 Was hat der Scan mit Escanerbracht? (Siehe MWAV.LOG), was sagt http://virusscan.jotti.org/ zu CmdLineExt03.dll und Poste, was in der Datei CONFIG.NT steht, wenn du sie mit einem Texteditor, wie EDITOR oder Notepad, ansiehst?
__________
MfG Ralf
SEO-Spam Hunter

#5 Escan:

Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.
Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.smartsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\SYSTEM\danim.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\SYSTEM\ddrawex.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\SYSTEM\quartz.dll". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".bak". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rpt". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{FFB59000-EB47-45BC-842A-EFFBDA635C94}". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}" refers to invalid object "H:\DAVIDE~1\Software\WICHTI~1\SCHULE~1\TIINTE~1\ti\Acrobat\Reader\Mfc42.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0C81EA61-20F8-4ddc-81BF-AF0923078398}" refers to invalid object "C:\WINDOWS\system32\msctr.dll". Action Taken: No Action Taken.


http://virusscan.jotti.org/ - Server is extremely busy at the moment. Please try again later.

CONFIG.NT:

REM MS-DOS-Initialisierungsdatei für Windows
[...............]
REM device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
REM Country=049,850,C:\WINDOWS\SYSTEM32\COUNTRY.SYS
device=f:\PROGRA~1\ALWILS~1\Avast4\aswmonds.sys

#6 Achja, Avast fummelt da immer rum.............

Zu den anderen Dinge: Nutze dafuer bitte CCleaner von www.ccleaner.com.

Schicke die Datei CmdLineExt03.dll bitte an unten angegebene Adresse.

Sonst sieht doch alles wieder relativ "normal" aus. Vergebe noch eine neue Startseite und shau, ob sie diesmal erhalten bleibt.
__________
MfG Ralf
SEO-Spam Hunter

#7 Ok... Ich hab's nochmal probiert:

File: CmdLineExt03.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 f1bca3cb83752eeb399cdde04acaf71b
Packers detected: PETITE
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing



--- Die Startseite bleibt jetzt erhalten.


--- Trotz Einsatz von CCleaner bringt EScan leider noch folgendes Ergebnis:


Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.smartsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.


-> Da ist noch ein Virus drauf (win32.passma Virus) und jede menge anderes Zeug! :-(

#8 Jein, das ist nicht mehr unbedingt auf dem Rechner. Leider "spinnt" Escan in der Beziehung etwas. Es findet/sucht auch nach anderen Dingen, z.B. Resten von bestimmter Malware in der Registrierung und anderen harmlosen ueberbleibseln. Auch produziert es dabei einige Fehlalarme.

Fix mal diese Eintraege und gebe eine neue Startseite im IE ein:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Es ist wohl auch so gut wie unmoeglich festzustellen, an welchen Stallen er diese Dinge vermutet.

Mache mal folgendes. Aktualisiere dein Spybot (Version 1.4) und nutze auch Lavasofts Adaware, Zusaetzlich lasse mit Ccleaner noch untter "probleme" nach Fehlern suchen und beseitige sie.

Falls du es dann noh willst, kannst du Ewido(www.ewido.net) auch noch deinn Rechner untersuchen lassen.

Ich denke, das wird einige Sachen beseitigen, die Escan jetzt noch meldet.

Melde dich, was gefunden wurde von den einzelnen Programmen und was immer noch gemeldet wird.

Nachtrag. Deaktiviere bei all diesen Dingen unbedingt den Tea-Timer!
__________
MfG Ralf
SEO-Spam Hunter

#9 Habe jetzt neu formatiert und escan sagt immer noch, dass sich der Virus auf meiner Platte befindet (win 32 passma). Das ist doch nicht möglich, oder?!?

#10 Nein, ist es nicht. Ih sage ja Escan ist da leider sehr schludrig....

Denke daran von deinem neuen System ein Image zu ziehen!
__________
MfG Ralf
SEO-Spam Hunter

#11 Ich habe mal Ewido laufen lassen und der hat auch nichts gefunden.

- Was für ein Programm nutzt du fürs Image und zum Virenschutz?

#12 Ich nutze Kaspersky AV, den Wndowspaketfilter, einen Router und als imageprogramm Aronis True Image.

Von True Image gibt es recht haeufig OEM Versionen in Zeitschriften. SIe sind etwas funktionsreduziert, sind aber kostnlos und ein Image koennen sie auch erstellen. Z.B. hier http://www.wintotal.de/Wtcd/
Nur sollte die eigene Hardware fuer solche Versionen nicht zu neu sein.
__________
MfG Ralf
SEO-Spam Hunter

#13 Vielen Dank für deine schnelle und freundliche Unterstützung, Ralf!

Viele Grüße,

Dave

#14 Kein Problem und sie zu, das dein Rechner sauber auf dem neusten Stand bleibt.
__________
MfG Ralf
SEO-Spam Hunter