vmlib.exe <---Troj/LowZone

#1 Ich habe alle Norton/Symantec Programme gelöscht und Escan + Highjackthis + Adaware laufen lassen. Adaware hat 156 Critical Objects gefunden, Escan 6 Viren. Den Internet Explorer hab ich auch rausgeworfen und Firefox installiert. Ist in diesem Logfile noch was zu cleanen? Danke für eure Hilfe!


Logfile of HijackThis v1.99.1
Scan saved at 12:20:52, on 19.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Dell\Solution Center\service.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Netropa\Multimedia Keyboard\mmusbkb2.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\FRU\Remind32.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINNT\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINNT\System32\locator.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/index/client_start.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DellSC] C:\Programme\Dell\Solution Center\service.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{2604914C-9B58-4C0E-BAF8-E859782A52FE}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD4E4D43-769F-4D6A-B9FE-409DED8A43B8}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe

#2

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{2604914C-9B58-4C0E-BAF8-E859782A52FE}: NameServer = 192.168.120.252,192.168.120.253

das scheint nicht deine Tcpip-Verbindung zu sein

Suchbegriff: 192.168.120.252
Adresse: whois.arin.net

Suchergebnis:

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 - 192.168.255.255

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#3 01/19/06 14:00:37 [Info]: BlackLight Engine 1.0.30 initialized
01/19/06 14:00:37 [Info]: OS: 5.0 build 2195 (Service Pack 4)
01/19/06 14:00:37 [Note]: 7019 4
01/19/06 14:00:37 [Note]: 7005 0
01/19/06 14:00:51 [Note]: 7006 0
01/19/06 14:00:51 [Note]: 7011 1044
01/19/06 14:00:52 [Note]: FSRAW library version 1.7.1014
01/19/06 14:01:04 [Note]: 7007 0

Was nun? Hat nix gefunden.

#4 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Verzeichnis von C:\WINNT\SYSTEM32

19.01.2006 14:22 16.384 Perflib_Perfdata_654.dat
19.01.2006 14:22 35.870 vsconfig.xml
19.01.2006 11:00 100.352 DFRG.MSC
18.01.2006 18:47 7.388 eInstall.dat
18.01.2006 15:13 4.212 zllictbl.dat
18.01.2006 12:21 16.384 Perflib_Perfdata_740.dat
09.01.2006 21:02 2.976 OEMINFO.PNF
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
11.11.2005 19:53 16.384 Perflib_Perfdata_3cc.dat
08.11.2005 14:48 16.384 Perflib_Perfdata_198.dat
07.11.2005 13:03 278.944 FNTCACHE.DAT
25.10.2005 15:24 16.384 Perflib_Perfdata_6bc.dat
20.09.2005 14:33 16.384 Perflib_Perfdata_5c0.dat

-----------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 07D1-080F

Verzeichnis von C:\DOKUME~1\OLIVIA~1\LOKALE~1\Temp

------------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 07D1-080F

Verzeichnis von C:\WINNT

19.01.2006 14:24 18.497 ESCAN.LOG
19.01.2006 14:23 4.227 WIN.INI
19.01.2006 14:22 245 Msiosd.ini
19.01.2006 14:19 992 frights.log
19.01.2006 14:18 11.240 WindowsUpdate.log
19.01.2006 14:18 32.624 SCHEDLGU.TXT
19.01.2006 12:54 137 uno.ini
19.01.2006 12:47 62.204 Windows Update.log
19.01.2006 12:46 1.197.578 ShellIconCache
19.01.2006 12:20 107.132 UninstallFirefox.exe
19.01.2006 12:19 2.258 mozver.dat
19.01.2006 11:03 40.253 avmw2k.log
19.01.2006 11:03 695.456 SETUPAPI.LOG
18.01.2006 19:27 361 MAILINST.LOG
18.01.2006 19:27 21.980 WSSPORD.DAT
18.01.2006 18:47 27 escan.dbf
18.01.2006 18:43 14.866 winsbak.reg
18.01.2006 18:43 105.068 winsbak2.reg
18.01.2006 18:43 144 INST_TSP.LOG
18.01.2006 18:43 270 SYSTEM.INI
18.01.2006 18:42 100 FLASH.LOG
06.12.2005 19:47 79 wmsetup.log
17.11.2005 22:05 53.248 UpdtNv28.exe
20.09.2005 12:22 18.420 SYMEVENT.LOG
22.12.2004 17:18 92 P2kRotate.ini

----------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 07D1-080F

Verzeichnis von C:\

19.01.2006 14:26 0 sys.txt
19.01.2006 14:25 7.989 system.txt
19.01.2006 14:25 140 systemtemp.txt
19.01.2006 14:23 95.744 system32.txt
19.01.2006 14:19 201.326.592 pagefile.sys
18.01.2006 19:25 4 AVPCallback.log
09.09.2005 11:54 7.805.008 HP_Officejet_D_Series_WebPack_English_Win2K.exe
17.01.2005 21:35 35.636.811 NIS05DEU.EXE
---------------------------------------------------


Okay so? *g*

#6 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\NIS05DEU.EXE
C:\WINNT\UpdtNv28.exe
C:\WINNT\Msiosd.ini
C:\WINNT\WIN.INI
C:\WINNT\uno.ini
__________
MfG Sabina

rund um die PC-Sicherheit

#7 in keiner der Dateien wurde ein Virus festgestellt.
Wars das nun? Dann vielen vielen Dank, kann man auch anders "Donaten"
als über Paypal? Würden gern was zukommen lassen.

#8 Hallo zusammen!

Ich habe ein grosses Problem.
Mein Computer ist glaube ich voll von Trojaner und ich bekomme sie nicht weg.
Habe Antivirus "Steganos" rüberlaufen lassen aber er findet immer wieder neue Sachen. Was soll ich machen?
Kann man noch was machen ausser formatieren?

Danke im voraus
Mfg Rene

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:49:12, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\RefreshLock.exe
C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe
C:\Programme\Steganos AntiSpam 2006\antispam.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Steganos AntiDialer 2006\guard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS.0\System32\wdfmgr.exe
C:\WINDOWS.0\System32\UAService7.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS.0\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\RENKHR~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: (no name) - {4A232A7D-9BA3-49DA-9E1F-4433E4F46769} - C:\WINDOWS.0\System32\gcog.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [RefreshLock] C:\RefreshLock.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [vmlib] vmlib.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [saspy2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [AntiSpyware 2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [Steganos AntiSpam 2006] "C:\Programme\Steganos AntiSpam 2006\antispam.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Steganos AntiDialer 2006] "C:\Programme\Steganos AntiDialer 2006\guard.exe"
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS.0\System32\UAService7.exe

#9 drnoodle

damit wird die tcpip-Verbindung, die zum Trojaner fuehrt, geloescht. es kann sein, dass du nach dem neustart eine neue Internetverbindung erstellen musst.

öffne das HijackThis -- Button "scan" -- vor dEintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{2604914C-9B58-4C0E-BAF8-E859782A52FE}: NameServer = 192.168.120.252,192.168.120.253

PC neustarten

so richtig bin ich nicht ueberzeugt:

Dort werden verdächtige Dateien analysiert und an etwa 40 Hersteller von AntiVirus Programmen weitergeleitet, falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware!
http://www.malwareupload.com/

Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\NIS05DEU.EXE
C:\WINNT\UpdtNv28.exe
C:\WINNT\Msiosd.ini
C:\WINNT\WIN.INI
C:\WINNT\uno.ini
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Rene1976

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: (no name) - {4A232A7D-9BA3-49DA-9E1F-4433E4F46769} - C:\WINDOWS.0\System32\gcog.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [vmlib] vmlib.exe <---Troj/LowZone
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)

PC neustarten

deinstalliere:+ loesche
C:\Programme\MyWebSearch
C:\Programme\MyWay
C:\Programme\SinEspias

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. Kopiere es ab und wenn moeglich, als Anhang in den Thread.
http://board.protecus.de/download.php?id=213002.datFind.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina!

Vielen Dank erst einmal für Deine schnelle Antwort.

Ich habe alles so gemacht wie Du es mir beschrieben hast!

Im Anhang ist die datFind.bat Datei.

Muss ich noch etwas machen?

Zu Deiner Info:
Im Hintergrundbildschirm auf meinem Desktop steht folgendes:

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

Danke wieder mal im voraus.

Schönen Abend noch!
Mfg Rene1976

#12 Rene1976

Zitat

Anhang: datFind.bat

du hast mir die datfindbat gepostet...
ich moechte gern die Textdatei haben
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Sorry!


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A813-C525

Verzeichnis von c:\

21.01.2006 01:17 0 dirdat.txt
20.01.2006 23:32 1.073.270.784 hiberfil.sys
20.01.2006 23:32 1.610.612.736 pagefile.sys
20.01.2006 22:44 488 hpfr5550.xml
20.01.2006 22:28 67.080 winzip.log
11.12.2005 13:46 308 boot.ini
11.12.2005 13:37 47.564 NTDETECT.COM
11.12.2005 13:37 251.184 ntldr
18.11.2005 00:00 216 DebugTrace-RockallDLL.log
02.10.2005 15:31 18.605 pob_core.ini
20.07.2005 21:09 399 sound_bank_log.txt
20.07.2005 21:05 2.881 bink_log.txt
04.02.2005 16:26 0 hpwiapicture
22.05.2004 09:57 7.297 WINDOWS.log
26.04.2004 15:39 237 debugInstaller.txt
14.04.2004 14:34 151 liprefs.js
01.09.2003 15:45 133.866 WINDOWS.0game.log
21.08.2003 12:15 143.040 FixBlast.exe
23.11.2002 07:26 394.626 temp.raw
14.10.2002 18:26 1.138 INSTALL.LOG
18.09.2002 17:18 4 unknown.dat
18.09.2002 17:17 39 CTJINI.INI
26.08.2002 12:05 0 AUTOEXEC.BAT
26.08.2002 12:05 0 IO.SYS
26.08.2002 12:05 0 MSDOS.SYS
26.08.2002 12:05 0 CONFIG.SYS
28.05.2002 20:30 193.024 RefreshLock.exe
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 238.880 $LDR$
18.08.2001 13:00 440.365 txtsetup.sif
30 Datei(en) 2.685.829.864 Bytes
0 Verzeichnis(se), 6.013.108.224 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A813-C525

Verzeichnis von C:\WINDOWS.0\system32

20.01.2006 23:36 314.730 perfh009.dat
20.01.2006 23:36 41.494 perfc009.dat
20.01.2006 23:36 320.218 perfh007.dat
20.01.2006 23:36 49.976 perfc007.dat
20.01.2006 23:36 1.690 PerfStringBackup.INI
20.01.2006 23:32 4.452 nvapps.xml
18.01.2006 23:15 43.520 CmdLineExt03.dll
17.01.2006 17:03 13.002 wpa.dbl
13.01.2006 23:28 217.656 FNTCACHE.DAT
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
11.12.2005 13:54 247 spupdwxp.log
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
17.11.2005 00:47 16.832 amcompat.tlb
17.11.2005 00:47 23.392 nscompat.tlb
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
18.10.2005 11:08 349.760 mcinsctl.dll
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
13.10.2005 00:11 15.584 spmsg.dll
11.10.2005 18:53 46.784 Status.MPF
10.10.2005 18:27 36.864 intercept.dll
10.10.2005 18:15 13.002 wpa.bak
10.10.2005 18:05 654 $winnt$.inf
10.10.2005 18:00 25.065 wmpscheme.xml
10.10.2005 17:58 488 logonui.exe.manifest
10.10.2005 17:58 488 WindowsLogon.manifest
10.10.2005 17:58 749 nwc.cpl.manifest
10.10.2005 17:58 749 cdplayer.exe.manifest
10.10.2005 17:58 749 wuaucpl.cpl.manifest
10.10.2005 17:58 749 ncpa.cpl.manifest
10.10.2005 17:58 749 sapi.cpl.manifest
10.10.2005 17:57 22.880 emptyregdb.dat
10.10.2005 17:54 4.108 DslWz.log
08.10.2005 03:11 46.592 zlbw.dll
08.10.2005 03:11 99.678 wp.bmp
08.10.2005 03:11 1 done1
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
28.07.2005 13:52 91.856 S32EVNT1.DLL
26.07.2005 05:39 37.888 olecnv32.dll
26.07.2005 05:39 74.752 olecli32.dll
26.07.2005 05:39 11.776 xolehlp.dll
26.07.2005 05:39 101.376 txflog.dll
26.07.2005 05:39 397.824 rpcss.dll
26.07.2005 05:39 1.285.120 ole32.dll
26.07.2005 05:39 161.280 msdtcuiu.dll

#14 Rene1976

Im Grunde interessieren mich nur die Dateien der letzten vier Monate... o.k. poste noch die restlichen zwei Logs, (die Verseuchung war am 8.Oktober..also , nun weisst du, welchen Zeitraum ich benoetige...

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\


Wenn du mit der einheitlichen datfindbat nicht zurechtkommst ....es wird alles mit einem Mal angezeigt...dann arbeite eine andere ab:
http://virus-protect.org/datfindbat.html
wird hier erklaert. So werden die 4 logs einzeln angezeigt

------------------------------------------------------------
+ poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html

dann beginnt die Reinigung
----------------------------------------------------------------------

IST FUER MICH:

Zitat

Das Bild zeigt einen blauen Bildschirm und folgenden Text:

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

Troj/FakeAle-A nimmt die folgenden Registrierungsänderungen vor:

HKCR\CLSID\(145E6FB1-1256-44ED-A336-8BBA43373BE6)
InprocServer32
<Pfad zum vorherigen Hintergrund>

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktopChanges
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispAppearancePage
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispBackgroundPage
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Wallpaper
C:\WP.BMP

HKCU\Control Panel\Colors
Background
0 0 0

HKCU\Control Panel\Desktop
Wallpaper
C:\WP.BMP

HKCU\Control Panel\Desktop
WallpaperStyle
0

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Verzeichnis von C:\WINDOWS.0

21.01.2006 15:03 0 0.log
21.01.2006 15:03 159 wiadebug.log
21.01.2006 15:03 1.357.581 WindowsUpdate.log
21.01.2006 15:03 50 wiaservc.log
21.01.2006 15:03 2.048 bootstat.dat
21.01.2006 11:51 32.212 SchedLgU.Txt
21.01.2006 10:16 1.073.299.456 MEMORY.DMP
20.01.2006 23:26 129.451 setupapi.log
18.01.2006 23:07 135.600 ntbtlog.txt
13.01.2006 21:57 252.983 setupact.log
11.01.2006 23:48 106.278 iis6.log
11.01.2006 23:48 158.938 ntdtcsetup.log
11.01.2006 23:48 282.586 tsoc.log
11.01.2006 23:48 262.557 comsetup.log
11.01.2006 23:48 1.374 imsins.log
11.01.2006 23:48 32.277 ocmsn.log
11.01.2006 23:48 10.292 KB908519.log
11.01.2006 23:48 351.963 ocgen.log
11.01.2006 23:48 35.514 msgsocm.log
11.01.2006 23:48 703.067 FaxSetup.log
08.01.2006 20:31 1.355 imsins.BAK
08.01.2006 20:31 11.199 KB912919.log
08.01.2006 20:31 16.764 updspapi.log
17.12.2005 14:01 10.077 KB910437.log
17.12.2005 14:01 16.230 KB905915.log
16.12.2005 23:19 177.444 Directx.log
15.12.2005 22:48 2.068 eReg.dat
12.12.2005 04:56 28.940 KB899587.log
12.12.2005 04:56 28.044 KB896422.log
12.12.2005 04:56 27.790 KB885835.log
12.12.2005 04:56 26.773 KB885836.log
12.12.2005 04:56 27.611 KB885250.log
12.12.2005 04:55 29.057 KB901017.log
12.12.2005 04:55 29.282 KB899591.log
12.12.2005 04:55 29.712 KB896424.log
12.12.2005 04:55 28.935 KB893756.log
12.12.2005 04:55 25.619 KB896423.log
12.12.2005 04:55 25.123 KB873339.log
12.12.2005 04:55 25.191 KB888113.log
12.12.2005 04:55 25.750 KB887742.log
12.12.2005 04:55 25.126 KB887472.log
12.12.2005 04:54 27.612 KB896358.log
12.12.2005 04:54 25.267 KB891781.log
12.12.2005 04:54 30.668 KB902400.log
12.12.2005 04:54 23.883 KB890046.log
12.12.2005 04:54 20.228 KB896688.log
12.12.2005 04:53 19.742 KB893066.log
12.12.2005 04:53 21.578 KB905414.log
12.12.2005 04:53 20.808 KB901214.log
12.12.2005 04:53 17.995 KB888302.log
12.12.2005 04:53 21.307 KB900725.log
12.12.2005 04:53 12.290 KB886185.log
12.12.2005 04:53 17.596 KB904706.log
12.12.2005 04:53 17.895 KB905749.log
12.12.2005 04:53 16.668 KB896428.log
12.12.2005 04:52 17.293 KB894391.log
12.12.2005 04:52 17.168 KB890859.log
12.12.2005 04:40 302.953 wmsetup.log
12.12.2005 04:40 966 wmsetup10.log
12.12.2005 03:07 7.018 KB898461.log
11.12.2005 14:02 30.089 spupdsvc.log
11.12.2005 14:01 475 DtcInstall.log
11.12.2005 14:00 1.914 OEWABLog.txt
11.12.2005 13:59 316.640 WMSysPr9.prx
11.12.2005 13:58 1.154.313 setupapi.log.1.old
11.12.2005 13:56 715.482 setuplog.txt
11.12.2005 13:50 630.498 svcpack.log
11.12.2005 13:46 200 cmsetacl.log
11.12.2005 13:45 2.409 sessmgr.setup.log
11.12.2005 10:24 278 system.ini
17.11.2005 00:46 1.017 win.ini
15.11.2005 16:29 5.929 KB893803v2.log
01.11.2005 17:47 39.563 xpsp1hfm.log
01.11.2005 17:47 33.277 KB828741.log
01.11.2005 17:46 27.470 KB835732.log
01.11.2005 17:44 19.658 Q329834.log
01.11.2005 17:44 26.638 KB823559.log
01.11.2005 17:42 19.240 Q329048.log
01.11.2005 17:42 18.517 KB834707-IE6-20040929.115007.log
01.11.2005 17:41 19.543 Q810577.log
01.11.2005 17:39 16.895 Q810833.log
01.11.2005 17:36 2.059 vminst.log
01.11.2005 17:33 14.401 Q811630.log
01.11.2005 17:31 12.927 Q329441.log
01.11.2005 17:29 12.598 Q817606.log
01.11.2005 17:27 9.480 Q329170.log
01.11.2005 17:25 2.223 Q329115.log
01.11.2005 17:24 1.783 Q329390.log
01.11.2005 17:24 1.453 Q323255.log
01.11.2005 16:48 5.550 KB842773.log
16.10.2005 23:33 16.403 KB893803.log
10.10.2005 18:36 1.444 COM+.log
10.10.2005 18:27 36.864 intercept.dll
10.10.2005 18:21 153.962 Windows Update.log
10.10.2005 18:00 299.552 WMSysPrx.prx
10.10.2005 18:00 4.249 ODBCINST.INI
10.10.2005 17:58 749 WindowsShell.Manifest
10.10.2005 17:54 1.659 setuperr.log
10.10.2005 17:30 2.546 regopt.log
10.10.2005 17:16 16.351 WINNT32.LOG
10.10.2005 17:15 254 UPGRADE.TXT
10.10.2005 17:15 581 DHCPUPG.LOG
10.10.2005 17:15 37.859 wsdu.log
08.10.2005 22:52 67.139 setupapi.old
08.10.2005 14:40 4.394 SYMEVENT.LOG
04.10.2005 12:11 64 wininit.ini
08.09.2005 15:41 290.816 Setup1.exe
08.09.2005 15:41 74.752 ST6UNST.EXE
30.08.2005 21:02 1.582.928 setupapi.log.0.old
16.08.2005 15:24 600 Rtcw.INI
01.08.2005 13:01 427.520 WRServices.dll
27.05.2005 00:22 10.752 hh.exe
17.05.2005 13:37 2.359.350 ACD Wallpaper.bmp
17.12.2004 16:33 145 game.INI

Verzeichnis von C:\DOKUME~1\RENKHR~1\LOKALE~1\Temp

"ist leer"


Silentrunner:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AIM" = "C:\Programme\AIM95\aim.exe -cnetwait.odl" ["America Online, Inc."]
"Steganos AntiDialer 2006" = ""C:\Programme\Steganos AntiDialer 2006\guard.exe"" ["Steganos GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NeroCheck" = "C:\WINDOWS.0\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"RefreshLock" = "C:\RefreshLock.exe" ["Gregory Maynard-Hoare"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS.0\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"saspy2006" = ""C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray" ["Steganos Software."]
"AntiSpyware 2006" = ""C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray" ["Steganos Software."]
"Steganos AntiSpam 2006" = ""C:\Programme\Steganos AntiSpam 2006\antispam.exe"" ["Steganos"]
"MCUpdateExe" = "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe" [file not found]
"KAVPersonal50" = ""C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize" ["Steganos GmbH"]
"ThrustTSR" = "C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvshell.dll" ["NVIDIA Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 DragDrop Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Property Sheet Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B6F322A8-7E5F-483B-84AA-D2E30A6785C6}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\STEGAN~2\SSCtxMnu.dll" ["Steganos Software."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\System32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS.0\system32\browseui.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Steganos AntiVirus 2006\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiSpyware 2006\(Default) = "{B6F322A8-7E5F-483B-84AA-D2E30A6785C6}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\STEGAN~2\SSCtxMnu.dll" ["Steganos Software."]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Steganos AntiVirus 2006\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS.0\System32\wp.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS.0\BonJovi.scr" ["MacSourcery"]


Startup items in "René Kühr" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"hp psc 2000 Series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 2170 series#1087734955" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2170 series#1087734955"" [empty string]
"McAfee.com Update Check (RENÉ-René Kühr)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" = "My &Search Bar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL" [file not found]

"{07B18EA9-A523-4961-B6BB-170DE4475CCA}" = "My &Web Search" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL" [file not found]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll" [MS]

"{07B18EA9-A523-4961-B6BB-170DE4475CCA}" = "My &Web Search" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL" [file not found]

"{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" = "My &Search Bar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

kavsvc, kavsvc, ""C:\Programme\Steganos AntiVirus 2006\kavsvc.exe"" ["Steganos GmbH"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS.0\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS.0\System32\HPZipm12.exe" ["HP"]
SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS.0\System32\UAService7.exe" [null data]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe" ["Webroot Software, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS.0\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt07\Driver = "hpzlnt07.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 82 seconds, including 14 seconds for message boxes)