UnSpyPC, Howiper, Idemlog

#1 Guten Abend,

bin neu hier und bitte daher um Euer Verständnis...

Also, habe mir heute im I-Net irgendwelchen "Schrott" eingefangen. Norton AntiVirus hat diverse Viren bzw. Adware gefunden und in Quarantäne gesetzt. Im einzelnen sind dies:
dgprpsetup.exe
idemlog.exe
ifhyo.dll
howiper.exe

Hatte dann so eine merkwürdige Toolbar im Internet-Explorer, die sich nicht entfernen lies. Sie ist aber wie von Geisterhand wieder verschwunden und es sieht wieder "normal" aus. Ich kann allerdings die Symbolleisten über Ansicht -> Symbolleisten nicht mehr aufrufen, ist alles grau und inaktiv.

Und dann kam nach dem Start immer das Programm "UnSpyPC". Ich habe es einfach gelöscht (uninstall) und über eine Anleitung von Symantec auch die Eintragungen aus der Registry gelöscht.

Ich würde nun gern wissen, ob mein System nun wieder schrottfrei ist oder ob die Programme irgendwo im Hintergrund noch laufen?? Der Virencheck hat nichts mehr gefunden, aber wie gesagt, die Symbolleisten sind inaktiv. Könnt Ihr mir da weiterhelfen??

Wäre wirklich sehr nett :-)

Einen schönen Abend noch,
Frank

[/img]

#2 laeufer75

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread


datfindbat--> kopiere die 4 Textdateien (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html

kopiere das Log von Winpfind
http://virus-protect.org/winpfind.html

-------------------------------------
Info
http://virus-protect.org/artikel/spyware/idemlog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,

ich hoffe, dass ich das in etwas richtig gemacht habe und Ihr mit den Infos etwas anfangen könnt??

Schon mal vielen Dank für die Unterstützung.

Grüße,
Frank

---------------------


blbeta funktioniert nicht. Es kommt die Meldung "USERENV.DLL nicht gefunden.

------------------------
Datentr„ger in Laufwerk C: FESTPLATTE
Seriennummer des Datentr„gers: 3844-18DE
Verzeichnis von C:\WINDOWS\SYSTEM32

WSPIRDA DLL 21.264 08.06.00 17:00 WSPIRDA.DLL
1 Datei(en) 21.264 Bytes
0 Verzeichnis(se) 27.820,00 MB frei

---------------------

Datentr„ger in Laufwerk C: FESTPLATTE
Seriennummer des Datentr„gers: 3844-18DE
Verzeichnis von C:\WINDOWS\TEMP

OCREST~1 TMP 1.110 28.12.05 23:17 OCRestore.tmp
JETB0F1 TMP 0 28.12.05 22:43 JETB0F1.TMP
~DFD804 TMP 1.536 28.12.05 22:43 ~DFD804.TMP
ACR22E5 TMP 179 28.12.05 19:56 Acr22E5.TMP
ACR2362 TMP 0 28.12.05 19:56 Acr2362.TMP
ACR2375 TMP 2.048.000 28.12.05 19:56 Acr2375.TMP
ACR22E6 TMP 426 28.12.05 18:34 Acr22E6.TMP
6092 JPG 13.320 26.12.05 12:50 6092.jpg
JETB130 TMP 0 26.12.05 11:34 JETB130.TMP
CONTROL XML 10.538 24.12.05 23:16 control.xml
MEOME-~5 OCP 69.632 24.12.05 11:47 meOme - 2x-treme.ocp
MEOME-~4 OCP 69.632 24.12.05 11:47 meOme - x-treme.ocp
MEOME-~3 OCP 69.632 24.12.05 11:47 meOme - supern8.ocp
MEOME-~2 OCP 69.632 24.12.05 11:47 meOme - smart9.ocp
MEOME-~1 OCP 69.632 24.12.05 11:46 meOme - aktiv9.ocp
144693~1 JPG 23.062 18.12.05 21:51 1446931_3-large.jpg
144693~2 JPG 18.318 18.12.05 21:50 1446931-large.jpg
SUMMY81 DOC 130.048 18.12.05 18:17 Summy81.doc
SYMEVENT LOG 3.745 16.12.05 19:11 SYMEVENT.LOG
3D1E JPG 9.700 10.12.05 23:46 3d1e.jpg
A6DA JPG 24.611 30.11.05 22:39 a6da.jpg
MSIEVENT LOG 3.941 29.11.05 22:00 msievent.log
CC6352 TMP 9.018 29.11.05 0:22 CC6352.TMP
FBE1D2 TMP 0 04.09.05 23:30 fbE1D2.TMP
TRIPGFFH HTM 79.329 29.08.05 17:35 triPGFFH.htm
FREENE~1 OCP 69.632 19.08.05 16:39 freenet - BusinessTarif.ocp
SNDSET~3 LOG 5.935 10.08.05 18:15 SNDSetup55.log
IDSINST LOG 20.366 10.08.05 18:15 IDSinst.LOG
SNDUPD~4 LOG 155.136 10.08.05 18:15 SNDUpdater55I.log
SNDUNIN LOG 7.341 10.08.05 17:33 SNDunin.log
NORTO~11 LOG 2.625.406 10.08.05 17:33 Norton Internet Security 8-10-2005 17h28m32s.log
SYMCPROP DAT 26.500 10.08.05 17:33 symcprop.dat
AVRES_~1 DAT 172 10.08.05 17:33 AVRES_OPTRF_LiveUpdate.dat
LSINST~1 LOG 6.291 10.08.05 17:32 LSInstall.log
SNDUPD~3 LOG 170.337 10.08.05 17:18 SNDUpdater54U.log
NORTO~10 LOG 2.010.227 10.08.05 17:15 Norton Internet Security 8-10-2005 17h12m20s.log
NORTON~9 LOG 2.625.432 23.07.05 10:56 Norton Internet Security 7-23-2005 10h52m5s.log
NORTON~8 LOG 2.015.205 23.07.05 10:47 Norton Internet Security 7-23-2005 10h44m30s.log
NORTON~7 LOG 2.428 23.07.05 10:44 Norton Internet Security 7-23-2005 10h44m18s.log
SNDSET~2 LOG 4.139 18.03.05 21:31 SNDSetup544.log
SNDUPD~2 LOG 143.302 18.03.05 21:30 SNDUpdater544I.log
NORTON~6 LOG 2.625.349 18.03.05 21:09 Norton Internet Security 3-18-2005 21h5m12s.log
NORTON~5 LOG 2.008.812 18.03.05 20:59 Norton Internet Security 3-18-2005 20h55m33s.log
NORTON~4 LOG 2.092 18.03.05 0:21 Norton Internet Security 3-18-2005 0h21m30s.log
94D3 JPG 20.803 07.02.05 22:17 94d3.jpg
ISPACK~1 INI 603 06.02.05 19:08 ISPackFiles.ini
100 Datei(en) 37.162.527 Bytes
0 Verzeichnis(se) 27.819,97 MB frei

------------------------------

Datentr„ger in Laufwerk C: FESTPLATTE
Seriennummer des Datentr„gers: 3844-18DE
Verzeichnis von C:\WINDOWS

STANDARD PWL 1.176 28.12.05 23:18 STANDARD.PWL
WIN386 SWP 213.909.504 28.12.05 23:17 WIN386.SWP
USER DAT 1.425.440 28.12.05 23:16 USER.DAT
CLASSES DAT 6.238.240 28.12.05 23:15 CLASSES.DAT
WINDOW~1 LOG 105.611 28.12.05 23:13 Windows Update.log
SYSTEM DAT 3.829.792 28.12.05 22:56 SYSTEM.DAT
WAVEMIX INI 54 28.12.05 22:42 WAVEMIX.INI
SYSTEM INI 2.373 28.12.05 22:42 SYSTEM.INI
POWERPNT INI 60 28.12.05 22:42 POWERPNT.INI
SCHEDLOG TXT 32.703 28.12.05 22:42 SchedLog.Txt
NDISLOG TXT 0 28.12.05 22:42 NDISLOG.TXT
WININIT BAK 0 28.12.05 21:57 WININIT.BAK
BRPAGE INF 42 28.12.05 21:34 BrPage.inf
RDT INI 4.395 28.12.05 19:13 rdt.ini
BALLOON WAV 6.400 28.12.05 19:13 balloon.wav
FAULTLOG TXT 149.173 27.12.05 0:49 Faultlog.txt
PLUGIN~1 TRA 582 24.12.05 23:38 plugin131_15.trace
WMSETUP LOG 381.184 24.12.05 23:16 wmsetup.log
WIASERVC LOG 50 12.12.05 21:45 wiaservc.log
SETUPAPI LOG 683.100 30.11.05 20:42 setupapi.log
WIN INI 9.413 30.11.05 20:41 WIN.INI
W0190D~1 BIN 3.596 30.11.05 19:25 w0190data.bin
TTFCACHE 41.786 29.11.05 23:44 ttfCache
CONTROL INI 1.215 29.11.05 23:43 CONTROL.INI
WISO INI 2.999 28.10.05 23:24 WISO.INI
LUINST~1 LOG 21.237 10.08.05 18:24 LUINSTALL.LOG
WININI~1 OLD 31.738 10.08.05 18:23 wininitlog.old
SYMEVENT LOG 23.001 10.08.05 18:14 SYMEVENT.LOG
SHELLI~1 1.373.742 28.04.05 19:50 ShellIconCache
ACTIVE~1 TXT 4.441 28.04.05 18:38 Active Setup Log.txt
HH EXE 10.752 13.04.05 17:06 hh.exe
IE4ERR~1 TXT 1.166 19.01.05 23:59 IE4 Error Log.txt
VIDWIZ INI 155 15.01.05 0:04 vidwiz.ini
MODEMCPL TXT 26.861 12.01.05 20:59 ModemCpl.txt
CREATI~1 LOG 3.070 12.01.05 20:43 Creatix V.90 HaM Data Fax Modem.log
327 Datei(en) 276.930.634 Bytes
0 Verzeichnis(se) 27.811,94 MB frei

------------------------

Datentr„ger in Laufwerk C: FESTPLATTE
Seriennummer des Datentr„gers: 3844-18DE
Verzeichnis von C:\

SYS TXT 0 28.12.05 23:19 sys.txt
SYSTEM TXT 19.456 28.12.05 23:19 system.txt
SYSTEM~1 TXT 6.822 28.12.05 23:17 systemtemp.txt
SYSTEM32 TXT 285 28.12.05 23:15 system32.txt
SCANDISK LOG 725 26.12.05 17:39 SCANDISK.LOG
CONFIG BAK 0 10.08.05 17:34 CONFIG.BAK
AUTOEXEC BAK 206 10.08.05 17:34 AUTOEXEC.BAK
CONFIG SYS 0 10.08.05 17:34 CONFIG.SYS
AUTOEXEC BAT 206 10.08.05 17:34 AUTOEXEC.BAT
LURESULT TXT 100 10.08.05 17:15 LuResult.txt
COMPATID TXT 321 20.03.05 13:54 COMPATID.TXT
DETLOG TXT 51.731 01.10.03 23:35 DETLOG.TXT
DETLOG OLD 51.632 01.10.03 23:21 DETLOG.OLD
BOOTLOG TXT 82.554 01.10.03 23:03 BOOTLOG.TXT
BOOTLOG PRV 78.775 01.10.03 22:45 BOOTLOG.PRV
SWCONF DAT 31 10.08.01 10:57 SWCONF.DAT
IPH PH 167 02.07.01 19:34 IPH.PH
MSDOS SYS 1.660 02.07.01 17:28 MSDOS.SYS
WKHLPQMS HLP 15.375 15.07.00 3:57 wkhlpqms.hlp
COMMAND COM 95.504 08.06.00 17:00 command.com
IO SYS 110.592 08.06.00 17:00 io.sys
LOGO SYS 129.078 08.06.00 17:00 LOGO.SYS
22 Datei(en) 645.220 Bytes
0 Verzeichnis(se) 27.807,91 MB frei


--------------------

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Windows Millennium Edition Version: 4.90.3000
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
aspack 01.09.2003 04:00:00 117760 C:\WINDOWS\W0190WUn.EXE

Checking %System% folder...
PTech 29.11.1999 18:38:26 97475 C:\WINDOWS\SYSTEM\MDACRDME.HTM

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
28.12.2005 23:24:24 RH 6238240 C:\WINDOWS\CLASSES.DAT
28.12.2005 23:27:18 RH 1425440 C:\WINDOWS\USER.DAT
28.12.2005 22:56:44 RH 3829792 C:\WINDOWS\SYSTEM.DAT
29.11.2005 23:44:34 H 41786 C:\WINDOWS\ttfCache
18.12.2005 19:50:06 H 5610 C:\WINDOWS\PCHEALTH\HELPCTR\Database\HelpSessionHistory.stream
28.12.2005 22:42:36 H 6 C:\WINDOWS\TASKS\SA.DAT
11.12.2005 23:18:16 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\LQPU6LAY\desktop.ini
11.12.2005 23:18:26 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\HSK3D5OT\desktop.ini
11.12.2005 23:19:00 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\G8IAB3ME\desktop.ini
11.12.2005 23:19:02 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\KX0B0VO7\desktop.ini
11.12.2005 23:19:30 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\Y5WF25I5\desktop.ini
11.12.2005 23:19:46 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\S5MVCXI7\desktop.ini
11.12.2005 23:20:08 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\ULDABITG\desktop.ini
11.12.2005 23:52:08 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\XGHQTGBC\desktop.ini
26.12.2005 11:50:10 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\963PLIWM\desktop.ini
26.12.2005 11:50:10 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\H9VU1TDJ\desktop.ini
26.12.2005 11:50:10 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\8J8P2JCV\desktop.ini
26.12.2005 11:50:10 HS 67 C:\WINDOWS\Temporary Internet Files\Content.IE5\4A49SBEL\desktop.ini
27.12.2005 23:47:40 HS 120 C:\WINDOWS\Recent\Desktop.ini

Checking for CPL files...
Microsoft Corporation 22.08.2001 13:51:12 295936 C:\WINDOWS\SYSTEM\INETCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 63488 C:\WINDOWS\SYSTEM\INTL.CPL
Microsoft Corporation 08.06.2000 17:00:00 105315 C:\WINDOWS\SYSTEM\MODEM.CPL
Microsoft Corporation 08.06.2000 17:00:00 41232 C:\WINDOWS\SYSTEM\ODBCCP32.CPL
Microsoft Corporation 08.06.2000 17:00:00 63760 C:\WINDOWS\SYSTEM\POWERCFG.CPL
Microsoft Corporation 16.09.2002 09:35:56 28672 C:\WINDOWS\SYSTEM\WUAUCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 82432 C:\WINDOWS\SYSTEM\APPWIZ.CPL
Microsoft Corporation 08.06.2000 17:00:00 224352 C:\WINDOWS\SYSTEM\DESK.CPL
Microsoft Corporation 08.06.2000 17:00:00 113152 C:\WINDOWS\SYSTEM\MAIN.CPL
Microsoft Corporation 08.06.2000 17:00:00 409088 C:\WINDOWS\SYSTEM\MMSYS.CPL
Microsoft Corporation 08.06.2000 17:00:00 14579 C:\WINDOWS\SYSTEM\NETCPL.CPL
Microsoft Corporation 08.06.2000 17:00:00 49664 C:\WINDOWS\SYSTEM\PASSWORD.CPL
Microsoft Corporation 08.06.2000 17:00:00 394755 C:\WINDOWS\SYSTEM\SYSDM.CPL
Microsoft Corporation 08.06.2000 17:00:00 15360 C:\WINDOWS\SYSTEM\TELEPHON.CPL
Microsoft Corporation 08.06.2000 17:00:00 36864 C:\WINDOWS\SYSTEM\TIMEDATE.CPL
Microsoft Corporation 08.06.2000 17:00:00 69632 C:\WINDOWS\SYSTEM\ACCESS.CPL
Microsoft Corporation 08.06.2000 17:00:00 15360 C:\WINDOWS\SYSTEM\THEMES.CPL
Microsoft Corporation 08.06.2000 17:00:00 31504 C:\WINDOWS\SYSTEM\IRPROPS.CPL
Apple Computer, Inc. 02.06.2003 12:46:28 297472 C:\WINDOWS\SYSTEM\QuickTime.cpl
Microsoft Corporation 19.02.1999 19:48:58 40960 C:\WINDOWS\SYSTEM\FINDFAST.CPL
NVIDIA Corporation 18.11.2002 14:15:00 135168 C:\WINDOWS\SYSTEM\nvtuicpl.cpl
Microsoft Corporation 30.10.2001 08:10:00 192512 C:\WINDOWS\SYSTEM\JOY.CPL
Sun Microsystems 08.12.2004 08:40:24 45175 C:\WINDOWS\SYSTEM\plugincpl131_15.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
30.10.2005 18:30:28 478 C:\WINDOWS\All Users\Startmenü\Programme\Autostart\NetShow PowerPoint Helper.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...
30.10.2005 18:30:28 559 C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
30.10.2005 18:30:30 676 C:\WINDOWS\Startmenü\Programme\Autostart\OnlineCounter 2004-Autostart.lnk

Checking files in %USERPROFILE%\Application Data folder...
28.12.2005 20:02:28 33499 C:\WINDOWS\Anwendungsdaten\dw.log
12.07.2004 21:33:32 96488 C:\WINDOWS\Anwendungsdaten\GDIPFONTCACHEV1.DAT
29.05.2005 19:14:00 12 C:\WINDOWS\Anwendungsdaten\uns.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{FEF10FA2-355E-4e06-9381-9B24D7F7CC88} = C:\WINDOWS\SYSTEM\SHELL32.DLL
{53C74826-AB99-4d33-ACA4-3117F51D3788} = C:\WINDOWS\SYSTEM\SHELL32.DLL
{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL
{BD472F60-27FA-11cf-B8B4-444553540000} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL
{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} = C:\WINDOWS\SYSTEM\ZIPFLDR.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
=
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
=

<<< WARNING! - NOT A VALID WIN98 KEY! (ME is Ok) >>>
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7ab770c7-0e23-4d7a-8aa2-19bfad479829}
= C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINDOWS\SYSTEM\DOCPROP2.DLL

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ECB9560-04F9-4bbc-943D-298DDF1699E1}
CNisExtBho Class = C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}
CNavExtBho Class = C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}
SearchToolbar = C:\WINDOWS\SYSTEM\IFHYO.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = C:\WINDOWS\SYSTEM\SHDOCVW.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{9455301C-CF6B-11D3-A266-00C04F689C50}
Encarta &Recherche-Assistent = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} = Norton Internet Security : C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\SYSTEM\MSDXM.OCX
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\SYSTEM\IFHYO.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
ButtonText = @shdoclc.dll,-866 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
MenuText = :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9455301C-CF6B-11D3-A266-00C04F689C50}
ButtonText = Recherche-Assistent :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = C:\WINDOWS\SYSTEM\SHDOCVW.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINDOWS\SYSTEM\SHELL32.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = C:\WINDOWS\SYSTEM\BROWSEUI.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = C:\WINDOWS\SYSTEM\SHDOCVW.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = C:\WINDOWS\SYSTEM\BROWSEUI.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = C:\WINDOWS\SYSTEM\SHDOCVW.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\SYSTEM\IFHYO.DLL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : C:\WINDOWS\SYSTEM\BROWSEUI.DLL
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = Norton Internet Security : C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\SYSTEM\IFHYO.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry C:\WINDOWS\scanregw.exe /autorun
TaskMonitor C:\WINDOWS\taskmon.exe
PCHealth C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
SystemTray SysTray.Exe
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
CHotKey mHotkey.exe
WorksFUD C:\Programme\Microsoft Works\wkfud.exe
Microsoft Works Portfolio C:\Programme\Microsoft Works\WksSb.exe /AllUsers
Microsoft Works Update Detection C:\Programme\Microsoft Works\WkDetect.exe
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
0190 Warner C:\PROGRA~1\0190WA~1\WARN0190.EXE
QuickTime Task "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
Symantec Core LC C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
Nokia Tray Application C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
IrMon irmon.exe
utsgmon corrida.exe
PasswdMon iehelper.exe
PasswdMon iehelper.exe
PasswdMon iehelper.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
MSFS Installed = 1
MAPI Installed = 1
IMAIL Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent mstask.exe
SSDPSRV C:\WINDOWS\SYSTEM\ssdpsrv.exe
*StateMgr C:\WINDOWS\System\Restore\StateMgr.exe
KB891711 C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
ccSetMgr "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
ccEvtMgr "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
ISSVC "C:\Programme\Norton Internet Security\ISSVC.exe"
ccProxy C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
ScriptBlocking "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Brong32 runload32.exe
StatusCheck systemdll.exe
MON76234 10010.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce-]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp
NoRealMode 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\Web Folders\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun •
CDRAutoRun
NoBandCustomize 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
UPnPMonitor {e57ce738-33e8-4c51-8354-bb4de9d215d1} = C:\WINDOWS\SYSTEM\UPNPUI.DLL
AUHook {BCBCD383-3E06-11D3-91A9-00C04F68105C} = C:\WINDOWS\SYSTEM\AUHOOK.DLL


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 28.12.2005 23:28:25

#4 ja, ich kann was anfangen mit den Daten, jedoch brauche ich noch das Log vom HijackThis

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Guten abend Sabina,

hier das Log von Hijackthis.

Viele Grüße,
Frank

--------------

Logfile of HijackThis v1.99.1
Scan saved at 17:30:59, on 29.12.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ISSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\ONLINECOUNTER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\OCCAPI.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R3 - URLSearchHook: (no name) - {1B636FC0-7430-3E04-1199-BAFC2B9D8F69} - UserSp1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IFHYO.DLL (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IFHYO.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [utsgmon] corrida.exe
O4 - HKLM\..\Run: [PasswdMon] iehelper.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ISSVC] "C:\Programme\Norton Internet Security\ISSVC.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Brong32] runload32.exe
O4 - HKCU\..\Run: [StatusCheck] systemdll.exe
O4 - HKCU\..\Run: [MON76234] 10010.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20293ffff7a89f387117/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.98,85.255.112.107

#6 wende CleanUp genau nach Anleitung auf der Seite ab
http://virus-protect.org/cleanup.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Brong32"=-
"StatusCheck"=-
"MON76234"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IrMon"=-
"utsgmon"=-
"PasswdMon"=-
"PasswdMon"=-
"PasswdMon"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {1B636FC0-7430-3E04-1199-BAFC2B9D8F69} - UserSp1.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IFHYO.DLL (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IFHYO.DLL (file missing)
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [utsgmon] corrida.exe
O4 - HKLM\..\Run: [PasswdMon] iehelper.exe

O4 - HKCU\..\Run: [Brong32] runload32.exe
O4 - HKCU\..\Run: [StatusCheck] systemdll.exe
O4 - HKCU\..\Run: [MON76234] 10010.exe


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

-----------------------------------------------------------------------
KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\WININIT.BAK
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\rdt.ini
C:\WINDOWS\SYSTEM\IFHYO.DLL
C:\WINDOWS\balloon.wav

PC neustarten

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (poste den Text)

Counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

------------------------------------------------------------------------------
da ich die versteckten Dateien nicht sehen kann (F-secure funktioniert nicht), wollen wir hoffen, dass Kaspersky sie findet.--> kopiere den scanreport ab

Kaspersky - Onlinescan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi

ich habe die Liste mehr oder weniger erfolgreich abgearbeitet. Hier einige Anmerkungen:

KILLBOX:

Die Datei "IFHYO.DLL" war nicht da, konnte sie also nicht mit auswählen.


----------------------------------


SMIT-REM:

smitRem © log file
version 2.8

by noahdfear


Windows Millennium [Version 4.90.3000]


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

spyaxe uninstaller NOT present
Winhound uninstaller NOT present

Existing Pre-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system folder ~~~

~~~ Icons in system folder ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Starting registry repairs

Deleting files

Remaining Post-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system folder ~~~

~~~ Icons in system folder ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~ wininet.dll ~~~~

wininet.dll Clean!!


------------------------

FixWareout:

Der Link hat irgendwie nicht funktioniert :-(


---------------------------

Counterspy:

Der Download ist ja sehr groß, habe leider nur ISDN, so dass ich es erst mal nicht gemacht habe. Ist es zwingend erforderlich?


---------------------------


Kasersky:

Hier der LogFile:

KASPERSKY ON-LINE SCANNER REPORT
Thursday, December 29, 2005 21:49:58
Operating System: Microsoft Windows Millennium Edition
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/12/2005
Kaspersky Anti-Virus database records: 168232
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
a:\
c:\
d:\
e:\
f:\
g:\

Scan Statistics:
Total number of scanned objects: 61606
Number of viruses found: 5
Number of infected objects: 22
Number of suspicious objects: 0
Duration of the scan process: 4415 sec

Infected Object Name - Virus Name
c:\_RESTORE\TEMP\A0258071.CPY Infected: Trojan-Downloader.Win32.Small.ccn
c:\_RESTORE\TEMP\A0258095.CPY Infected: Backdoor.Win32.Agent.rw
c:\_RESTORE\TEMP\A0258099.CPY Infected: Backdoor.Win32.Agent.rw
c:\_RESTORE\TEMP\A0258104.CPY Infected: Backdoor.Win32.Agent.rw
c:\_RESTORE\TEMP\A0258106.CPY Infected: Backdoor.Win32.Agent.rw
c:\_RESTORE\TEMP\A0258107.CPY Infected: Backdoor.Win32.Agent.rw
c:\_RESTORE\TEMP\A0258142.CPY Infected: Trojan.Win32.Dialer.iz
c:\_RESTORE\TEMP\A0258147.CPY Infected: Trojan.Win32.Dialer.iz
c:\_RESTORE\TEMP\A0258152.CPY Infected: Trojan.Win32.Dialer.iz
c:\_RESTORE\TEMP\A0258154.CPY Infected: Trojan.Win32.Dialer.iz
c:\_RESTORE\TEMP\A0258155.CPY Infected: Trojan.Win32.Dialer.iz
c:\_RESTORE\TEMP\A0258290.CPY Infected: not-a-virus:AdWare.Win32.SBSoft.h
c:\_RESTORE\TEMP\A0258293.CPY Infected: not-a-virus:AdWare.Win32.SBSoft.h
c:\_RESTORE\TEMP\A0258294.CPY Infected: not-a-virus:AdWare.Win32.SBSoft.h
c:\_RESTORE\TEMP\A0258296.CPY Infected: not-a-virus:AdWare.Win32.SBSoft.h
c:\_RESTORE\TEMP\A0258297.CPY Infected: not-a-virus:AdWare.Win32.SBSoft.h
c:\WINDOWS\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Posteingang/22 Feb 2001 13:34 to Axel Seitz:Hier ein lustiges kleines Progrä/sorry2.zip/sorry.exe Infected: not-virus:BadJoke.Win32.JepRuss
c:\WINDOWS\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Posteingang/22 Feb 2001 13:34 to Axel Seitz:Hier ein lustiges kleines Progrä/sorry2.zip Infected: not-virus:BadJoke.Win32.JepRuss
c:\WINDOWS\Anwendungsdaten\Microsoft\Outlook\outlook.pst Infected: not-virus:BadJoke.Win32.JepRuss
c:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\37324926.exe Infected: Backdoor.Win32.Agent.rw
c:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5E0D5A64.exe Infected: Trojan.Win32.Dialer.iz
c:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\14755885.dll Infected: not-a-virus:AdWare.Win32.SBSoft.h

Scan process completed.


---------------------

Wie geht es denn jetzt weiter??? Brauchst Du noch einen anderen Report? Beim Internet-Explorer kann ich die Symbolleisten über Ansicht -> Symbolleisten wieder aufrufen. Das hat auf jeden Fall geklappt :-)

Wäre wirklich sehr nett von Dir, wenn Du mir weitere "Anweisungen" geben könntest.

Vielen Dank für Deine Unterstützung und Geduld,
Frank

#8 der Link funktioniert....du musst warten, dann erscheint die exe

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (poste den Text)

poste dann den scanreport

--------------

Windows Me -- Systemwiederherstellung (de)aktivieren

Öffne dafür »Systemsteuerung | System« und wechsel zu »Systemwiederherstellung«.
Dort hake dann »Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.

dann aktiviere sie wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#9 "Systemsteuerung" habe ich gemacht.


So, jetzt ging der Link doch, warum auch immer...

--------------------------

FiwWareout:

Hier der Logfile.


Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nzbmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

-----------------------------


Hijack:

Ich habe einfach noch mal einen aktuellen Logfile beigefügt.

Logfile of HijackThis v1.99.1
Scan saved at 23:30:08, on 29.12.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ISSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\ONLINECOUNTER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\OCCAPI.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ISSVC] "C:\Programme\Norton Internet Security\ISSVC.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20293ffff7a89f387117/netzip/RdxIE601_de.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_ansi.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.98,85.255.112.107
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

---------------------


Wäre wirklich super nett, wenn Du mir sagen könntest, ob ich jetzt noch was machen sollte. Kann ich eigentlich den Ordner "!KillBox" mit den Dateien (u.a. Ballon, usw.) löschen?

#10 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.98,85.255.112.107
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

PC neustarten

erstelle eine neue Internetverbindung (denn deine, die vom Wareout her verstellt wurde...hast du gerade geloescht)

leere den Killbox-Ordner, dann scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

habe ich alles gemacht. Panda hat nichts gefunden :-) Nur leider lässt sich MS-Word und MS-Excel nicht mehr starten, ist aber nicht so schlimm, muss ich halt neu installieren oder? Nochmal anbei das Hijackthis-Log.

Vielen Dank für Deine Ausdauer,
Frank

------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:04:29, on 30.12.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ISSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\ONLINECOUNTER.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\OCCAPI.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ISSVC] "C:\Programme\Norton Internet Security\ISSVC.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20293ffff7a89f387117/netzip/RdxIE601_de.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_ansi.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

#12 wenn die onlinescanner nun nichts mehr finden, muesste alles wieder i Ordnung sein. die programme, die nicht mehr funktionieren, installiere neu.

Lade noch den Firefox (falls du die Toolbar nicht magst, suche im Net und lade den FireFox "pur" und surfe nur noch mit ihm )
http://virus-protect.org/firefox.html

Einen GUTEN Rutsch ins NEUE JAHR
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Noch mal vielen Dank für Deine Unterstützung. Finde ich echt toll, dass Du Dir soviel Zeit genommen hast und Du so geduldig warst :-)

Wünsche Dir und dem gesamten Team ein gutes und erfolgreiches Jahr 2006.

Viele Grüße,
Frank