unerwünschte Toolbar |
||
---|---|---|
#0
| ||
25.11.2005, 20:30
...neu hier
Beiträge: 7 |
||
|
||
26.11.2005, 15:54
Ehrenmitglied
Beiträge: 6028 |
||
|
||
26.11.2005, 17:03
Ehrenmitglied
Beiträge: 29434 |
#3
Netzer
alles schoen und gut...aber die Daten von 2003 interessieren mich nicht...dafuer aber die fehlenden 3 Logs http://virus-protect.org/datfindbat.html die Malware unter System32 kann ich sehen...aber die anderen Logs fehlen, um mit der Reinigung beginnen zu koennen Zitat Verzeichnis von C:\WINDOWS\system32+ poste auch das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 10:53
...neu hier
Themenstarter Beiträge: 7 |
#4
Verzeichnis von C:\WINDOWS
28.11.2005 10:39 0 0.log 28.11.2005 10:39 2.048 bootstat.dat 28.11.2005 08:50 32.570 SchedLgU.Txt 28.11.2005 08:50 1.060.323 WindowsUpdate.log 26.11.2005 02:45 80.936 ntdtcsetup.log 26.11.2005 02:45 16.023 KB896424.log 26.11.2005 02:45 137.626 comsetup.log 26.11.2005 02:45 25.015 msgsocm.log 26.11.2005 02:45 26.193 tabletoc.log 26.11.2005 02:45 637.335 iis6.log 26.11.2005 02:45 485.479 FaxSetup.log 26.11.2005 02:45 17.588 medctroc.Log 26.11.2005 02:45 235.468 tsoc.log 26.11.2005 02:45 1.393 imsins.log 26.11.2005 02:45 14.122 ocmsn.log 26.11.2005 02:45 86.487 netfxocm.log 26.11.2005 02:45 264.638 ocgen.log 26.11.2005 02:45 168.384 msmqinst.log 26.11.2005 02:45 31.929 updspapi.log 26.11.2005 02:45 12.904 KB896688.log 26.11.2005 02:45 30.463 KB904706.log 26.11.2005 02:43 9.947 KB885250.log 26.11.2005 02:43 9.980 KB887742.log 26.11.2005 02:43 9.518 KB887472.log 26.11.2005 02:43 5.879 KB886185.log 26.11.2005 02:43 3.175 KB885884.log 25.11.2005 21:57 12.862 EPISMG00.SWB 25.11.2005 20:03 32 pavsig.txt 25.11.2005 18:38 805.858 setupapi.log 25.11.2005 17:53 6.400 balloon.wav 24.11.2005 17:59 95 winamp.ini 17.11.2005 16:20 1.053 eReg.dat 08.11.2005 16:12 3.232 wmsetup.log 04.11.2005 16:31 116 homeDVD-Fotos4_dlx.INI 03.11.2005 21:33 28.950 spupdsvc.log 03.11.2005 21:33 475 DtcInstall.log 03.11.2005 21:32 316.640 WMSysPr9.prx 03.11.2005 21:32 1.617 OEWABLog.txt 03.11.2005 21:32 581.949 setuplog.txt 03.11.2005 21:24 520.650 svcpack.log 03.11.2005 21:04 200 cmsetacl.log 03.11.2005 21:04 774 win.ini 03.11.2005 21:02 2.409 sessmgr.setup.log 03.11.2005 20:26 158 matlab.ini 31.10.2005 18:16 110.878 DirectX.log 14.10.2005 11:05 227 system.ini 13.10.2005 10:35 22.978 KB896688-IE6SP1-20051004.130236.log 13.10.2005 10:31 13.026 KB905495.log 04.10.2005 15:43 447 AvxOnline.log 04.10.2005 02:12 215 wiadebug.log 04.10.2005 02:12 50 wiaservc.log 04.10.2005 01:44 3.275.574 ACD Wallpaper.bmp 03.10.2005 02:17 7.337 KB898461.log 09.09.2005 15:23 17.688 EPSTPLOG.TXT 30.08.2005 01:36 738 CoD.INI 30.08.2005 01:35 632 CoDUO.INI 18.08.2005 15:16 63.150 setupact.log 17.08.2005 15:01 85 magix.ini 10.08.2005 17:23 8.787 SYMEVENT.LOG 30.06.2005 18:15 4.161 ODBCINST.INI 30.06.2005 18:15 63.924 dasetup.log 30.06.2005 15:05 625 ODBC.INI 13.06.2005 10:57 4.322 COM+.log 13.06.2005 10:56 31.371 KB893803v2.log 13.06.2005 10:55 25.692 KB890923-IE6SP1-20050225.103456.log 13.06.2005 10:54 27.280 KB892944.log 13.06.2005 10:54 28.947 KB835732.log 13.06.2005 10:54 1.941 xpsp1hfm.log 13.06.2005 10:50 10.222 KB828741.log 09.06.2005 22:55 26 tsctv.ini 09.06.2005 22:29 2.776 Ascd_tmp.ini 09.06.2005 22:14 5.680 KB842773.log 09.06.2005 21:56 110 setuperr.log 09.06.2005 21:53 299.552 WMSysPrx.prx 09.06.2005 21:52 45.770 Windows Update.log 09.06.2005 21:52 749 WindowsShell.Manifest 09.06.2005 21:49 124 pnplog.txt 09.06.2005 21:44 2.872 regopt.log 09.06.2005 21:36 149 wsdu.log 09.06.2005 21:35 842 UPGRADE.TXT 09.06.2005 21:34 11.081 WINNT32.LOG 09.06.2005 21:34 403 DHCPUPG.LOG 09.06.2005 21:34 753.477 setupapi.old 07.06.2005 21:22 486 s3setup.log 07.06.2005 17:34 85.916 ntbtlog.txt 07.06.2005 13:42 982 KB893357.log 07.06.2005 12:47 8.192 REGLOCS.OLD 07.06.2005 12:42 0 control.ini 07.06.2005 12:39 37 vbaddin.ini 07.06.2005 12:39 36 vb.ini 07.06.2005 12:36 0 Sti_Trace.log 27.05.2005 01:22 10.752 hh.exe Verzeichnis von C:\ 28.11.2005 10:54 0 sys.txt 28.11.2005 10:53 7.971 system.txt 28.11.2005 10:53 583 systemtemp.txt 28.11.2005 10:51 105.047 system32.txt 28.11.2005 10:39 805.306.368 PAGEFILE.SYS 28.11.2005 10:39 536.399.872 hiberfil.sys 17.11.2005 16:26 490 debugInstaller.txt 03.11.2005 21:04 211 boot.ini 03.11.2005 20:57 251.184 ntldr 03.11.2005 20:57 47.564 NTDETECT.COM 01.10.2005 01:57 6.961 pltemp.ini 22.08.2005 13:28 100 shutdown.log 17.08.2005 17:26 374.083 water-trance-1280x960.jpg 07.06.2005 12:42 0 AUTOEXEC.BAT 07.06.2005 12:42 0 CONFIG.SYS 07.06.2005 12:42 0 IO.SYS 07.06.2005 12:42 0 MSDOS.SYS 02.04.2003 12:00 4.952 bootfont.bin 18 Datei(en) 1.342.505.386 Bytes 0 Verzeichnis(se), 6.966.394.880 Bytes frei Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp 28.11.2005 10:51 32.768 ~DF5031.tmp 28.11.2005 10:51 114.688 ~DF2817.tmp 28.11.2005 10:51 32.768 ~DF11E8.tmp 28.11.2005 10:41 247.468 MSIcc4b.LOG 28.11.2005 10:39 412 jusched.log 28.11.2005 08:24 0 fla2D.tmp 28.11.2005 08:02 127.152 MSI325f8.LOG 7 Datei(en) 555.256 Bytes 0 Verzeichnis(se), 6.964.117.504 Bytes frei Dieser Beitrag wurde am 28.11.2005 um 10:57 Uhr von Netzer editiert.
|
|
|
||
28.11.2005, 12:13
Ehrenmitglied
Beiträge: 29434 |
#5
bevor die Reinigung beginnt, brauche ich noch das:
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 12:52
...neu hier
Themenstarter Beiträge: 7 |
#6
11/28/05 12:51:48 [Info]: BlackLight Engine 1.0.25 initialized
11/28/05 12:51:48 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/28/05 12:51:49 [Note]: 4019 4 11/28/05 12:51:49 [Note]: 4005 0 11/28/05 12:52:00 [Note]: 4006 0 11/28/05 12:52:00 [Note]: 4011 1432 11/28/05 12:52:00 [Note]: FSRAW library version 1.7.1013 11/28/05 12:52:06 [Note]: 4007 0 |
|
|
||
28.11.2005, 13:39
Ehrenmitglied
Beiträge: 29434 |
#7
Silentrunner
http://virus-protect.org/silentrunner.html + winpfind http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 14:00
...neu hier
Themenstarter Beiträge: 7 |
#8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"desktop" = "C:\WINDOWS\system32\idemlog.exe" [empty string] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"] "(Default)" = (empty string) "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "WinampAgent" = ""C:\Programme\Winamp\Winampa.exe"" [null data] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "dmhwj.exe" = "C:\WINDOWS\system32\dmhwj.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Jan" & "All Users" startup folders: ----------------------------------------------------- C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart "Verknüpfung mit Aral" -> shortcut to: "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Aral.xls" [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Dcfssvc, Dcfssvc, "C:\WINDOWS\system32\drivers\dcfssvc.exe" ["Eastman Kodak Company"] EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"] |
|
|
||
28.11.2005, 14:03
Ehrenmitglied
Beiträge: 29434 |
||
|
||
28.11.2005, 14:24
...neu hier
Themenstarter Beiträge: 7 |
#10
»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»
Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 02.04.2003 12:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc UPX! 25.11.2005 17:53:36 109568 C:\WINDOWS\SYSTEM32\idemlog.exe aspack 04.08.2004 08:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll UPX! 05.01.2003 01:42:32 67072 C:\WINDOWS\SYSTEM32\dtssource.ax winsync 02.04.2003 12:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll FSG! 25.11.2005 17:53:42 705 C:\WINDOWS\SYSTEM32\dgprpsetup.exe Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll aspack 18.03.2005 17:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll PECompact2 11.11.2005 06:00:34 2377568 C:\WINDOWS\SYSTEM32\MRT.exe aspack 11.11.2005 06:00:34 2377568 C:\WINDOWS\SYSTEM32\MRT.exe PTech 29.08.2005 13:27:12 520968 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL PEC2 19.03.2003 05:05:48 2052096 C:\WINDOWS\SYSTEM32\atl71.pdb PEC2 19.03.2003 07:20:00 10357760 C:\WINDOWS\SYSTEM32\mfc71.pdb PEC2 19.03.2003 06:28:40 8252416 C:\WINDOWS\SYSTEM32\MFC71d.pdb PEC2 19.03.2003 07:12:12 10333184 C:\WINDOWS\SYSTEM32\mfc71u.pdb PEC2 19.03.2003 06:31:58 8293376 C:\WINDOWS\SYSTEM32\mfc71ud.pdb Checking %System%\Drivers folder and sub-folders... PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 28.11.2005 13:39:40 S 2048 C:\WINDOWS\bootstat.dat 05.10.2005 02:17:32 S 21737 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB896688.cat 05.10.2005 20:33:28 S 12849 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB896424.cat 03.10.2005 02:14:56 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\0e18aac7-d6f4-484f-a270-55862ebb163c 03.10.2005 02:14:56 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred 03.10.2005 02:14:44 H 0 C:\WINDOWS\inf\oem16.inf 03.11.2005 21:04:34 RHS 333502 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_6.cab 28.11.2005 13:39:42 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 04.08.2004 08:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 02.04.2003 12:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 02.04.2003 12:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 02.04.2003 12:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 02.04.2003 12:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl NVIDIA Corporation 06.10.2003 14:16:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl Apple Computer, Inc. 06.05.2001 21:10:14 288768 C:\WINDOWS\SYSTEM32\QuickTime.cpl Microsoft Corporation 04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Sun Microsystems, Inc. 04.03.2005 03:36:44 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl Microsoft Corporation 04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 02.04.2003 12:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 02.04.2003 12:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 02.04.2003 12:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 02.04.2003 12:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 09.06.2005 21:53:16 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 09.06.2005 21:43:50 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 07.06.2005 12:43:00 HS 84 C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\desktop.ini 04.11.2005 18:42:28 455 C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\Verknüpfung mit Aral.lnk Checking files in %USERPROFILE%\Application Data folder... 20.06.2005 20:36:52 41379 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Applist.txt 07.06.2005 12:33:50 HS 62 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\desktop.ini 20.10.2005 00:37:04 32912 C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\GDIPFONTCACHEV1.DAT »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IZArcCM {8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\Programme\IZArc\IZArcCM.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IZArcCM {8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\Programme\IZArc\IZArcCM.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\Programme\Spybot - Search & Destroy\SDHelper.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\SHDOCVW.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = : {08BEC6AA-49FC-4379-3587-4B21E286C19E} = : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = : {08BEC6AA-49FC-4379-3587-4B21E286C19E} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] NeroCheck C:\WINDOWS\System32\NeroCheck.exe SunJavaUpdateSched C:\Programme\Java\jre1.5.0_02\bin\jusched.exe WinampAgent "C:\Programme\Winamp\Winampa.exe" NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot dmhwj.exe C:\WINDOWS\system32\dmhwj.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] desktop C:\WINDOWS\system32\idemlog.exe ctfmon.exe C:\WINDOWS\system32\ctfmon.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 2 services 0 startup 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoBandCustomize 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe |
|
|
||
28.11.2005, 14:45
Ehrenmitglied
Beiträge: 29434 |
#11
rechtsklick auf den Link --> Ziel speichern unter--> waehle Desktop --> es erscheint eine fixder.reg
http://virus-protect.org/reg/fixder.reg -------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\balloon.wav C:\WINDOWS\ACD Wallpaper.bmp C:\WINDOWS\system32\insurance.bmp C:\WINDOWS\system32\close.bmp C:\WINDOWS\system32\spyware.bmp C:\WINDOWS\system32\xxx.bmp C:\WINDOWS\system32\pharmacy.bmp C:\WINDOWS\system32\gambling.bmp C:\WINDOWS\system32\dating.bmp C:\WINDOWS\system32\idesk.conf C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\AddQuit.ico C:\WINDOWS\system32\Desktop.ico C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\IE.ico C:\WINDOWS\system32\Open.ico C:\WINDOWS\system32\Quick.ico C:\WINDOWS\system32\dgprpsetup.exe C:\WINDOWS\system32\dmhwj.exe C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\idemlog.exe C:\WINDOWS\system32\favset.exe C:\WINDOWS\system32\howiper.exe C:\WINDOWS\system32\csqrv.exe Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixder.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird ------------------------------- smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread scanne und poste den scanreport http://virus-protect.org/cureit.html scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html -------------------- Information: Trojan.Favadd - Trojan.Howiper idemlog.exe,favset.exe,filesafer23.exe,howiper.exe http://virus-protect.org/artikel/spyware/idemlog.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 16:46
...neu hier
Themenstarter Beiträge: 7 |
#12
Sie ist weg! Vielen Dank für deine Hilfe und Geduld!!!
Adware:adware/sbsoft Not desinfected Windows Registry Adware:Adware/ClockSync Not desinfected C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\VVSNInst.exe Adware:Adware/SBSoft Not desinfected C:\Programme\Microsoft AntiSpyware\Quarantine\30389983-C356-4790-ADF3-39E051\C82D5728-975F-4B2B-BA8D-A9BA74 Adware:Adware/Startpage.AJF Not desinfected C:\!Submit\shdocnvt.dll Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! Dieser Beitrag wurde am 28.11.2005 um 19:51 Uhr von Netzer editiert.
|
|
|
||
15.12.2005, 14:46
...neu hier
Beiträge: 4 |
#13
Hallo,
ich habe das gleiche Problem wie oben beschrieben auf meinem System (WinXP, SP2). Den großteil der oben aufgeführten Dateien habe ich mit den genannten Hilfsprogrammen entfernt. Zusätzlich habe ich noch folgende Aktionen durchgefüht: im abgesicherten und normalen Modus: - AntiVir - Ad-Aware - Bitdefender (online scan) - Hijackthis.de (online) - RegCleaner momentaner Stand: - die Toolbar samt Bildchen werden nicht mehr angezeigt - der Desktop wird von einer weissen Fläche überlagert, die leicht blinkt Ich bin Laie und brauche dringend Hilfe. Da ich mein Notebook beruflich nutze fehlt mit zu einer Neuinstallation die Zeit. Danke. MfG pitti |
|
|
||
15.12.2005, 17:24
Ehrenmitglied
Beiträge: 29434 |
#14
pitti
poste das log vom Silentrunner http://virus-protect.org/silentrunner.html (ich kann erst morgen nachsehen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.12.2005, 19:11
...neu hier
Beiträge: 4 |
#15
Hallo,
als Anhang erst einmal das log. Ich habe inzwischen einen Eintrag im aktive Desktop gefunden und habe in ausgeschalten. Die Oberfläche sieht so wieder o.k. aus. Aber es scheint mir noch einiges faul zu sein. Ausserdem habe ich in meiner Verzweiflung jetzt so viele Ratschläge ausprobiert, dass ich dadurch evt. neuen Müll gesammelt habe. Wäre toll, wenn das System wieder sicher laufen würde. Danke schon mal für die schnelle Reaktion - ich bin begeistert. MfG pitti "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "InstantTray" = "C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe" ["Pinnacle Systems"] "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found] "PowerBar" = ""C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime" ["Cyberlink, Corp."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe" [empty string] "OEM-Reset" = (empty string) "Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"] "Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."] "RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."] "WLAN Quick-Starter" = ""C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update" [null data] "iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "PCMService" = ""C:\Programme\Home Cinema\PowerCinema\PCMService.exe"" ["CyberLink Corp."] "RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" [file not found] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "dmimu.exe" = "C:\WINDOWS\system32\dmimu.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."] "{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csjqe.exe" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Security" "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = "C:\WINDOWS\desktop.html" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS] Startup items in "Chef" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "OfficeManager Terminerinnerung" -> shortcut to: "C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe" [empty string] "Photo Loader resident" -> shortcut to: "C:\Programme\CASIO\Photo Loader\Plauto.exe" ["CASIO COMPUTER CO.,LTD."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string] CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"] CyberLink Task Scheduler (CTS), CLSched, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe"" [empty string] Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"] InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"] iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."] SmartLinkService, SLService, "slserv.exe" [" "] X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor PIXMA iP5000\Driver = "CNMLM6d.DLL" ["CANON INC."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 21 seconds, including 10 seconds for message boxes) |
|
|
||
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Neuer Ordner\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunio.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: Verknüpfung mit Aral.lnk = C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Aral.xls
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128298430890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128298691078
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Hatte mir einen anderen Thread durchgelesen. Moderator Sabina hat vorgeschlagen so eine Textdatei zu erstellen. Habe cleanup gemacht und nun datfind hier reinkopiert. Kann da jemand was mit anfangen? Es erscheint ständig eine Linkleiste am rechten Bildschirmrand mit insurance, spyware, pharmacy etc.. Ich glaube ich werde, wenn ich bei google bin verkehrt verlinkt!
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 204F-13ED
Verzeichnis von C:\WINDOWS\system32
26.11.2005 10:12 13.646 wpa.dbl
26.11.2005 09:49 19.712 insurance.bmp
26.11.2005 09:49 4.984 close.bmp
26.11.2005 09:49 11.772 spyware.bmp
26.11.2005 09:49 21.224 xxx.bmp
26.11.2005 09:49 21.872 pharmacy.bmp
26.11.2005 09:49 23.480 gambling.bmp
26.11.2005 09:49 21.872 dating.bmp
26.11.2005 09:49 387 idesk.conf
26.11.2005 02:49 63.778 perfc007.dat
26.11.2005 02:49 391.330 perfh007.dat
26.11.2005 02:49 380.486 perfh009.dat
26.11.2005 02:49 52.900 perfc009.dat
26.11.2005 02:49 897.954 PerfStringBackup.INI
26.11.2005 02:48 143.624 FNTCACHE.DAT
25.11.2005 20:03 1.406 Help.ico
25.11.2005 20:03 1.406 AddQuit.ico
25.11.2005 20:03 9.470 Desktop.ico
25.11.2005 20:03 2.550 Uninstall.ico
25.11.2005 20:03 5.350 IE.ico
25.11.2005 20:03 1.718 Open.ico
25.11.2005 20:03 1.718 Quick.ico
25.11.2005 17:53 705 dgprpsetup.exe
25.11.2005 17:53 654.111 filesafer23.exe
25.11.2005 17:53 109.568 idemlog.exe
25.11.2005 17:53 5.632 favset.exe
25.11.2005 17:53 3.072 howiper.exe
25.11.2005 17:53 51.200 csqrv.exe
11.11.2005 06:00 2.377.568 MRT.exe
03.11.2005 21:31 90 spupdwxp.log