Warning! Your PC is infected with spywareThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
03.12.2005, 23:17
...neu hier
Beiträge: 8 |
||
|
||
04.12.2005, 00:38
Ehrenmitglied
Beiträge: 29434 |
#2
köla
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html c:\windows\system32\mdmdll.exe ----------------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R3 - Default URLSearchHook is missing O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp3DBD.tmp O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file) O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld3BFB.tmp" /m PC neustarten mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\ldE1FE.tmp C:\WINDOWS\System32\1024\ld3BFB.tmp C:\WINDOWS\system32\ld656F.tmp C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp3DBD.tmp C:\WINDOWS\system32\hp7366.tmp C:\DOKUME~1\Roland\LOKALE~1\Temp\me_Y1VShipi9JY7Md2 C:\DOKUME~1\Roland\LOKALE~1\Temp\me_1AUrsuiVbB51oyu C:\DOKUME~1\Roland\LOKALE~1\Temp\me_WoySUJMDT9hVQab C:\DOKUME~1\Roland\LOKALE~1\Temp\me_6wiApV414rg06Yu C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mscornet.exe c:\windows\system32\mdmdll.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei wende CleanUp an http://virus-protect.org/cleanup.html loesche: C:\WINDOWS\System32\1024 Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread scanne mit Kaspersky--> poste den scanreport http://virus-protect.org/onlinescan.html Zitat mdmdll.exe "Added by the WIN32.CRYPTER __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 16:13
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo Sabina,
danke für die schnelle Antwort! c:\windows\system32\mdmdll.exe existiert nicht, somit kann ich auch kein Ergebnis posten killbox: c:\windows\system32\ldE1FE.tmp existiert nicht c:\windows\system32\1024\ld3BFB.tmp existiert nicht diese files existieren so nicht, aber mit anderen seltsamen Endungen. Die hab ich dann auch gelöscht. C:\DOKUME~1\Roland\LOKALE~1\Temp\me_Y1VShipi9JY7Md2 C:\DOKUME~1\Roland\LOKALE~1\Temp\me_1AUrsuiVbB51oyu C:\DOKUME~1\Roland\LOKALE~1\Temp\me_WoySUJMDT9hVQab C:\DOKUME~1\Roland\LOKALE~1\Temp\me_6wiApV414rg06Yu c:\windows\system32\mdmdll.exe existiert nicht Beim Neustart hab ich zwar F8 gedrückt, ich konnte aber keinen abgesicherten Modus auswählen. Hab dann trotzdem die restlichen Anweisungen von Dir befolgt. C:\WINDOWS\System32\1024 existiert nicht F-Secure log: 12/04/05 15:01:31 [Info]: BlackLight Engine 1.0.25 initialized 12/04/05 15:01:31 [Info]: OS: 5.1 build 2600 (Service Pack 1) 12/04/05 15:01:32 [Note]: 4019 4 12/04/05 15:01:32 [Note]: 4005 0 12/04/05 15:01:41 [Note]: 4006 0 12/04/05 15:01:41 [Note]: 4011 1664 12/04/05 15:01:41 [Note]: FSRAW library version 1.7.1013 12/04/05 15:02:30 [Note]: 4007 0 Kaspersky report: ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Sunday, December 04, 2005 15:54:47 Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 4/12/2005 Kaspersky Anti-Virus database records: 153381 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ Scan Statistics: Total number of scanned objects: 40412 Number of viruses found: 4 Number of infected objects: 11 Number of suspicious objects: 0 Duration of the scan process: 2297 sec Infected Object Name - Virus Name C:\!KillBox\hp3DBD.tmp Infected: Trojan-Downloader.Win32.Zlob.br C:\!KillBox\hp7366.tmp Infected: Trojan-Downloader.Win32.Zlob.br C:\!KillBox\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.by C:\!KillBox\msvol.tlb Infected: Trojan.Win32.Puper.bp C:\!KillBox\nvctrl.exe Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP193\A0026121.tlb Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP193\A0026155.tlb Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP194\A0026803.exe Infected: Trojan-Downloader.Win32.Zlob.bw C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026934.exe Infected: Trojan-Downloader.Win32.Zlob.by C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026935.tlb Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026938.exe Infected: Trojan.Win32.Puper.bp Scan process completed. mfg köla |
|
|
||
04.12.2005, 16:47
Ehrenmitglied
Beiträge: 29434 |
#4
köla
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren gibt es sehr wohl...du musst es finden/loeschen: C:\WINDOWS\System32\1024 c:\windows\system32\mdmdll.exe Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Systemdrive%\mdmdll.exe /a h /s > files.txt- Speichern als: md.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate md.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ----------------------------------------------------------------------------- loeschen: C:\!KillBox\hp3DBD.tmp <--- C:\!KillBox\hp7366.tmp C:\!KillBox\mssearchnet.exe C:\!KillBox\msvol.tlb C:\!KillBox\nvctrl.exe deaktiviere die Systemwiederherstellung, boote und aktiviere sie wieder http://virus-protect.org/systemwiederherstellung.html scanne und poste den scanbericht (nur das Endergebnis vom Scan http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 19:34
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo Sabina,
hab alles so gemacht, wie du geschrieben hast, aber C:\WINDOWS\System32\1024 c:\windows\system32\mdmdll.exe gibt es nicht bei mir auf dem Rechner- oder nicht mehr. Vor dem kompletten Bearbeiten hab ich den Rechner nochmal neu hochgefahren, und folgende Nachricht von Sybot erhalten: Spybot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Wert gelöscht --> Änderung erlaubt. C:\WINDOWS\System32\1024\ld3BFB.tmp c:\windows\system32\mdmdll.exe Beide Dateien hab ich nie gelöscht, denn ich hab sie ja nirgends! gefunden. Aber anscheinend sind jetzt beide gelöscht. Soll ich dieses Spybot-Programm eigentlich drauflassen? md.bat: Datentr„ger in Laufwerk C: ist 55-01-03 Volumeseriennummer: 9C34-8571 Scanbericht: KSUUtil.exe C:\Programme\KODAK\KODAK Software Updater\7288971\Programm möglicherweise BACKDOOR.Trojan Umbenannt. A0000008.exe C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 möglicherweise BACKDOOR.Trojan Umbenannt. A0000005.tbl C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 Tojan.Popuper Gelöscht. A0000006.exe C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 Tojan.Popuper Gelöscht. mfg köla |
|
|
||
04.12.2005, 20:17
Ehrenmitglied
Beiträge: 29434 |
#6
köla
scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 20:55
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo Sabina,
panda scanreport: Incident Status Location Adware:adware/securityerror Not desinfected C:\Dokumente und Einstellungen\Roland\Favoriten\Antivirus Test Online.url Adware:adware/fastvideoplayer Not desinfected C:\WINDOWS\INF\fastvideoplayer.inf Als ich panda öffnete - ich weiß nicht ob's an dem Programm lag - kam folgende Meldung von Spybot: ...datenbank-Eintrag geändert wurde: Kategorie ActiveX Distribution Unit, Änderung Wert hinzugefügt, Eintrag {3A9307A0-7DA4-4DAF-B042-5009F29E09E1} Soll ich die Änderung erlauben oder blockieren? mfg köla |
|
|
||
05.12.2005, 01:19
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@köla
du musst loeschen: C:\Dokumente und Einstellungen\Roland\Favoriten\Antivirus Test Online.url -------------------- panda funktioniert mit ActiveX , es ist also o.k. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 18:18
...neu hier
Themenstarter Beiträge: 8 |
#9
Hallo Sabina,
Datei soeben gelöscht. Es ist aber wieder ein Kodak Spam auf meinem Desktop erschienen. Was nun? mfg köla Dieser Beitrag wurde am 05.12.2005 um 19:51 Uhr von köla editiert.
|
|
|
||
06.12.2005, 15:10
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@köla
forste die C:\Dokumente und Einstellungen\Roland\Favoriten\ durch und loesche alle url, die supekt sind dann: scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html und poste das neue Log vom HijackThis ------------------------------------------------------------------- danach: installiere Firefox http://virus-protect.org/firefox.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2005, 20:22
...neu hier
Themenstarter Beiträge: 8 |
#11
Hallo Sabina,
Kaspersky scan repot: Infected Object Name - Virus Name C:\!KillBox\ld675A.tmp Infected: Trojan-Downloader.Win32.Zlob.bz C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.bz C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP1\A0000004.exe Infected: Trojan-Downloader.Win32.Zlob.by Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 20:14:50, on 06.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\dcfssvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Roland\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>;localhost O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe mfg köla |
|
|
||
07.12.2005, 00:21
Ehrenmitglied
Beiträge: 29434 |
#12
köla fixe mit dem HijackThis: O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file) neustarten loesche; C:\!KillBox\ld675A.tmp C:\!KillBox\mscornet.exe deaktiviere die Systemwiederherstellung....dann aktiviere sie wieder http://virus-protect.org/systemwiederherstellung.html dann scanne noch mal mit kaspersky dann bequeme dich und mache die WindowsUpdates, oder investiere ca. 70 Euro in XP, falls deine Version es nicht zulaesst...... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.12.2005, 20:11
...neu hier
Themenstarter Beiträge: 8 |
#13
Hallo Sabina,
danke für Deine Hilfe! Es scheint alles gut zu laufen, nur eine Datei findet Kaspersky immer noch: Infected Object Name - Virus Name C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP1\A0000017.exe Infected: Trojan-Downloader.Win32.Zlob.bz Auf diesen Ordner wird Zugriff verweigert, und er scheint leer zu sein. mfg köla |
|
|
||
10.12.2005, 18:34
Ehrenmitglied
Beiträge: 29434 |
#14
deaktiviere die Systemwiederherstellung....dann aktiviere sie wieder
http://virus-protect.org/systemwiederherstellung.html dann wird es diese Meldung nicht mehr geben __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 22:05
...neu hier
Themenstarter Beiträge: 8 |
#15
Hallo Sabina,
keine Viren mehr gefunden, alles sauber! Nochmals danke für deine super Hilfe! mfg köla |
|
|
||
so lautet die Nachricht im Betreff, wenn ich meinen IE öffne. Außerdem öffnet sich nicht meine Startseite, sondern updateyoursystem.com. Spyaxe hab ich schon runter bekommen und den roten Kreis mit dem weißen Kreuz hab ich auch nicht mehr. Folgend meine hijackthis log, clean up! wurde durchgeführt, datfind.bat. Ich hoffe Ihr könnt mir weiterhelfen. Danke köla.
Logfile of HijackThis v1.99.1
Scan saved at 22:37:05, on 03.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Roland\LOKALE~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>;localhost
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp3DBD.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld3BFB.tmp" /m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
Verzeichnis von C:\WINDOWS\system32
03.12.2005 22:39 5.384 ncompat.tlb
03.12.2005 22:19 24.064 ldE1FE.tmp
03.12.2005 20:41 24.064 ld656F.tmp
03.12.2005 15:53 9.728 mssearchnet.exe
02.12.2005 19:32 5.632 msvol.tlb
02.12.2005 19:32 20.480 hp3DBD.tmp
02.12.2005 19:10 20.480 hp7366.tmp
02.12.2005 15:15 4.286 ts.ico
02.12.2005 15:15 4.286 ot.ico
02.12.2005 15:15 13.964 nvctrl.exe
02.12.2005 15:13 14.568 mscornet.exe
29.11.2005 21:11 1.158 wpa.dbl
30.10.2005 09:43 45.742 perfc009.dat
30.10.2005 09:43 364.068 perfh009.dat
30.10.2005 09:43 55.184 perfc007.dat
30.10.2005 09:43 371.602 perfh007.dat
30.10.2005 09:43 843.576 PerfStringBackup.INI
22.09.2005 20:34 43.520 CmdLineExt03.dll
24.08.2005 14:31 189.792 FNTCACHE.DAT
Verzeichnis von C:\DOKUME~1\Roland\LOKALE~1\Temp
03.12.2005 22:40 512 ~DF7BC6.tmp
03.12.2005 22:40 512 ~DF78B1.tmp
03.12.2005 22:20 0 me_Y1VShipi9JY7Md2
03.12.2005 22:20 0 me_1AUrsuiVbB51oyu
03.12.2005 22:20 0 me_WoySUJMDT9hVQab
03.12.2005 22:20 0 me_6wiApV414rg06Yu
6 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 20.437.032.960 Bytes frei
Verzeichnis von C:\WINDOWS
03.12.2005 22:20 54.156 QTFont.qfn
03.12.2005 21:03 1.704.991 setupapi.log
03.12.2005 20:40 0 0.log
03.12.2005 20:40 2.048 bootstat.dat
03.12.2005 20:40 32.626 SchedLgU.Txt
03.12.2005 20:24 216 wiadebug.log
03.12.2005 16:09 50 wiaservc.log
02.12.2005 15:16 9.770 ModemLog_Agere Systems AC'97 Modem.txt
17.11.2005 16:09 1.409 QTFont.for
11.11.2005 21:59 214.124 setupact.log
30.09.2005 23:01 69.536 MEMORY.DMP
15.09.2005 05:06 113 Peter's Go.ini
25.08.2005 20:31 604 EventSystem.log
Verzeichnis von C:\
03.12.2005 22:41 0 sys.txt
03.12.2005 22:41 7.584 system.txt
03.12.2005 22:40 561 systemtemp.txt
03.12.2005 22:40 95.464 system32.txt
03.12.2005 20:40 792.723.456 pagefile.sys
02.12.2005 16:05 61.040 hpfr6500.log
24.08.2005 14:15 890 sharks_log.html
08.11.2004 19:11 194 boot.ini
27.09.2004 06:56 2.453 Lang.txt
27.09.2004 06:55 2.138 INSTALL.txt
27.09.2004 06:53 90 setup.log
16.09.2002 10:48 0 IO.SYS
16.09.2002 10:48 0 MSDOS.SYS
16.09.2002 10:48 0 AUTOEXEC.BAT
16.09.2002 10:48 0 CONFIG.SYS
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 47.580 NTDETECT.COM
29.08.2002 13:00 235.296 ntldr
18 Datei(en) 793.181.698 Bytes
0 Verzeichnis(se), 20.437.032.960 Bytes frei