Virus??? Hier meine Hijackthis-logThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.02.2006, 19:06
...neu hier
Beiträge: 8 |
||
|
||
12.02.2006, 12:29
Ehrenmitglied
Beiträge: 29434 |
#2
Andidrums
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt dir "C:\Programme\Gemeinsame Dateien" >> files.txt dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt dir "C:\Programme\Gemeinsame Dateien" >> files.txt dir "C:\WINDOWS\Q29yaW5hIEtpbms" >> files.txt dir "C:\WINDOWS">> files.txt notepad files.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.02.2006, 18:26
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo!
Hoffe, das alles so richtig ist! Gruß Verzeichnis von C:\WINDOWS\system32 12.02.2006 18:11 235.120 guard.tmp 12.02.2006 18:10 4.452 nvapps.xml 12.02.2006 18:10 235.120 ikcvid.dll 12.02.2006 18:02 235.670 t08u0al9edq.dll 12.02.2006 17:52 235.120 lv0409dqe.dll 11.02.2006 18:10 236.821 en0sl1d71.dll 11.02.2006 16:50 16.832 amcompat.tlb 11.02.2006 16:50 23.392 nscompat.tlb 11.02.2006 15:56 235.467 jt4o07h3e.dll 10.02.2006 20:51 220.040 FNTCACHE.DAT 08.02.2006 21:17 2.422 wpa.dbl 08.02.2006 20:24 280 intxt.exe 08.02.2006 20:24 280 winapi32.dll 08.02.2006 20:24 280 mswinf32.dll 08.02.2006 20:24 280 mswinf32.exe 08.02.2006 20:23 280 mswinb32.exe 08.02.2006 20:23 280 mswinb32.dll 08.02.2006 20:23 0 winlfl32.dll 08.02.2006 20:23 65 mswinup32.dll 08.02.2006 20:23 687.592 atmtd.dll 08.02.2006 20:23 687.592 atmtd.dll._ 08.02.2006 20:22 0 mswinxml.dll 08.02.2006 20:22 11.042 azebar.xml 08.02.2006 20:22 10.240 iasada.dll 03.02.2006 21:09 383.254 perfh009.dat 03.02.2006 21:09 53.608 perfc009.dat 03.02.2006 21:09 394.500 perfh007.dat 03.02.2006 21:09 64.598 perfc007.dat 03.02.2006 21:09 899.052 PerfStringBackup.INI 28.01.2006 21:58 3.200 qtplugin.log 28.01.2006 17:18 2.883 MRT.INI 18.01.2006 13:05 57.344 avsda.dll 04.01.2006 19:46 2.836.320 MRT.exe 29.12.2005 03:54 280.064 gdi32.dll 14.12.2005 09:24 118.784 sirenacm.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 02.11.2005 00:44 127.574 tsuninst.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\DOKUME~1\Corina\LOKALE~1\Temp Verzeichnis von C:\WINDOWS 12.02.2006 18:10 0 0.log 12.02.2006 18:10 1.790.468 WindowsUpdate.log 12.02.2006 18:10 157 wiadebug.log 12.02.2006 18:10 50 wiaservc.log 12.02.2006 18:09 2.048 bootstat.dat 12.02.2006 18:09 32.580 SchedLgU.Txt 11.02.2006 20:23 1.409 QTFont.for 11.02.2006 20:23 54.156 QTFont.qfn 11.02.2006 20:05 77.679 iis6.log 11.02.2006 20:05 317.239 setupapi.log 11.02.2006 18:33 107.132 UninstallFirefox.exe 11.02.2006 18:33 5.125 mozver.dat 11.02.2006 18:17 50.912 iconu.exe 11.02.2006 18:10 227 system.ini 11.02.2006 18:10 729 win.ini 11.02.2006 16:51 246.744 wmsetup.log 11.02.2006 16:51 236 wmsetup10.log 11.02.2006 16:49 316.640 WMSysPr9.prx 11.02.2006 16:01 0 winsysupd71.dat 10.02.2006 18:28 24.576 gimmygames.exe 09.02.2006 18:44 40 teller2.chk 09.02.2006 18:43 0 winsysupd61.dat 09.02.2006 18:43 69.632 winsysban7.exe 09.02.2006 18:43 20.480 winsysupd7.exe 08.02.2006 20:23 0 myupdates1.dat 08.02.2006 20:23 42 drsmartload2.dat 08.02.2006 20:23 0 gimmygames1.dat 08.02.2006 20:22 20.480 winsysupd6.exe 08.02.2006 20:22 0 uniq 08.02.2006 20:22 12.344 azesearch.bmp 08.02.2006 19:53 0 nsreg.dat 08.02.2006 19:52 107.132 UninstallThunderbird.exe 05.02.2006 16:19 13.125 LUINSTALL.LOG 28.01.2006 19:53 400 ODBC.INI 28.01.2006 17:18 195.559 tsoc.log 28.01.2006 17:18 1.374 imsins.log 28.01.2006 17:18 108.122 ntdtcsetup.log 28.01.2006 17:18 24.559 ocmsn.log 28.01.2006 17:18 177.597 comsetup.log 28.01.2006 17:18 14.747 KB896424.log 28.01.2006 17:18 259.308 ocgen.log 28.01.2006 17:18 25.141 msgsocm.log 28.01.2006 17:18 493.082 FaxSetup.log 28.01.2006 17:18 1.374 imsins.BAK 28.01.2006 17:18 9.983 KB910437.log 28.01.2006 17:18 22.048 updspapi.log 28.01.2006 17:18 15.843 KB905915.log 28.01.2006 17:18 11.242 KB912919.log 28.01.2006 17:18 10.402 KB908519.log 10.01.2006 19:07 0 MSDraw.ini 06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt 03.01.2006 17:45 1.989 uninstall_nmon.vbs 02.01.2006 18:05 94 cdplayer.ini 18.12.2005 20:03 84.305 DirectX.log 18.12.2005 20:03 323 doom3.ini 17.12.2005 21:07 22 FLASHKSK.INI 17.12.2005 18:52 180.412 setupact.log 23.10.2005 11:30 21.106 KB901017.log 23.10.2005 11:30 23.514 KB902400.log 23.10.2005 11:30 17.077 KB896688.log 23.10.2005 11:30 13.798 KB905414.log 23.10.2005 11:29 13.610 KB900725.log 23.10.2005 11:29 11.394 KB904706.log 23.10.2005 11:29 11.990 KB905749.log Verzeichnis von C:\ 12.02.2006 18:20 0 sys.txt 12.02.2006 18:19 11.736 system.txt 12.02.2006 18:19 134 systemtemp.txt 12.02.2006 18:19 100.741 system32.txt 12.02.2006 18:09 268.013.568 hiberfil.sys 12.02.2006 18:09 402.653.184 pagefile.sys 11.02.2006 18:38 24.576 gimmygames.exe 11.02.2006 18:10 211 boot.ini 10.02.2006 19:23 578.560 Installer.exe 08.02.2006 20:22 517.168 ucmoreiex.exe 28.01.2006 22:33 113 ps_system_Zeit.txt 26.12.2005 17:47 156 NeroTemp.nrg 17.12.2005 20:21 162 TO_InstallLog.txt 09.08.2005 20:38 168 setupfax.log 09.08.2005 19:30 0 DBS.TXT 21.11.2004 18:28 47.564 NTDETECT.COM 21.11.2004 18:28 251.184 ntldr 04.10.2004 17:35 2.264 log.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows 11.02.2006 16:21 <DIR> . 11.02.2006 16:21 <DIR> .. 02.11.2005 10:00 171.520 AutoIt3.exe 08.02.2006 20:23 436.932 mc-110-12-0000228.exe 04.02.2004 14:06 45.136 psapi.dll 11.02.2006 16:21 27 request.html 31.07.2005 17:29 126.976 services32.exe 5 Datei(en) 780.591 Bytes 2 Verzeichnis(se), 69.183.348.736 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders Verzeichnis von C:\Programme\Gemeinsame Dateien 08.02.2006 21:22 <DIR> . 08.02.2006 21:22 <DIR> .. 17.12.2005 20:33 <DIR> Adobe 28.01.2006 21:39 <DIR> Ahead 28.01.2006 19:51 <DIR> DESIGNER 29.05.2004 20:29 <DIR> Dienste 06.03.2005 17:07 <DIR> Digi338 28.01.2006 22:27 <DIR> element5 Shared 08.02.2006 20:22 <DIR> InetGet 09.08.2005 19:27 <DIR> InstallShield 28.01.2006 19:56 <DIR> Microsoft Shared 29.05.2004 20:29 <DIR> MSSoap 17.12.2005 22:20 <DIR> NewSoft 29.05.2004 03:23 <DIR> ODBC 08.02.2006 20:34 <DIR> rzor 29.05.2004 03:23 <DIR> SpeechEngines 02.02.2006 18:30 <DIR> SWF Studio 05.02.2006 16:23 <DIR> Symantec Shared 28.01.2006 19:51 <DIR> System 11.02.2006 16:21 <DIR> Windows 10.02.2006 20:45 <DIR> WinFixer 2005 08.02.2006 21:22 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 22 Verzeichnis(se), 69.183.344.640 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\WINDOWS\Q29yaW5hIEtpbms Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\WINDOWS 12.02.2006 18:08 <DIR> . 12.02.2006 18:08 <DIR> .. 12.02.2006 18:10 0 0.log 24.04.2005 11:32 35 A5W.INI 24.04.2005 11:33 <DIR> A5W_DATA 20.06.2004 22:49 7.204 Active Setup Log.txt 29.05.2004 04:19 <DIR> addins 02.04.2003 13:00 17.336 Angler.bmp 21.11.2004 18:47 <DIR> AppPatch 03.04.2005 19:41 3.289 Ascd_tmp.ini 08.02.2006 20:22 12.344 azesearch.bmp 02.01.2006 18:05 94 cdplayer.ini 02.04.2003 13:00 82.944 clock.avi 21.11.2004 18:39 200 cmsetacl.log 24.08.2004 00:32 1.450 COM+.log 28.01.2006 17:18 177.597 comsetup.log 29.05.2004 04:19 <DIR> Config 29.05.2004 04:19 <DIR> Connection Wizard 29.05.2004 20:31 0 control.ini 20.06.2004 22:49 <DIR> Cursors 23.08.2004 23:40 19.660 dahotfix.log 11.03.2005 16:45 <DIR> Debug 15.03.2001 08:06 4.608 DelShell.exe 02.04.2003 13:00 2 desktop.ini 18.12.2005 20:03 84.305 DirectX.log 18.12.2005 20:03 323 doom3.ini 24.08.2004 00:29 <DIR> Downloaded Installations 29.05.2004 04:19 <DIR> Driver Cache 08.02.2006 20:23 42 drsmartload2.dat 21.11.2004 18:50 360 DtcInstall.log 21.11.2004 18:22 <DIR> EHome 28.01.2006 16:12 <DIR> exefld 04.08.2004 08:57 1.035.264 explorer.exe 02.04.2003 13:00 80 explorer.scf 28.01.2006 17:18 493.082 FaxSetup.log 02.04.2003 13:00 16.730 Feder.bmp 17.12.2005 21:07 22 FLASHKSK.INI 02.04.2003 13:00 26.680 F„cher.bmp 10.02.2006 18:28 24.576 gimmygames.exe 08.02.2006 20:23 0 gimmygames1.dat 02.04.2003 13:00 26.582 Granit.bmp 11.02.2006 16:50 <DIR> Help 27.05.2005 00:22 10.752 hh.exe 11.02.2006 18:17 50.912 iconu.exe 17.05.2005 21:21 30 Iedit.INI 03.03.2003 15:25 34.304 ieuninst.exe 11.02.2006 20:05 77.679 iis6.log 21.11.2004 18:37 <DIR> ime 28.01.2006 17:18 1.374 imsins.BAK 28.01.2006 17:18 1.374 imsins.log 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 16:45 306.688 IsUninst.exe 29.05.2004 04:19 <DIR> java 02.04.2003 13:00 17.062 Kaffeetasse.bmp 18.04.2004 07:57 16.384 KS.EXE 09.08.2005 20:47 458 lexstat.ini 05.02.2006 16:19 13.125 LUINSTALL.LOG 30.10.2002 15:20 21.504 LXBRSET.EXE 09.08.2005 20:32 37 marscam.ini 21.11.2004 18:37 <DIR> Media 24.08.2004 00:30 <DIR> Microsoft.NET 06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt 11.02.2006 18:33 5.125 mozver.dat 07.12.2000 09:13 15.164 Mr310twv.ini 16.08.2002 16:41 12.106 Mr310twv.src 17.06.2005 20:47 <DIR> msagent 29.05.2004 04:19 <DIR> msapps 02.04.2003 13:00 1.405 msdfmap.ini 10.01.2006 19:07 0 MSDraw.ini 28.01.2006 17:18 25.141 msgsocm.log 29.05.2004 04:19 <DIR> mui 18.06.2004 13:40 33.280 muninst.exe 08.02.2006 20:23 0 myupdates1.dat 04.08.2004 08:58 70.144 notepad.exe 08.02.2006 19:53 0 nsreg.dat 28.01.2006 17:18 108.122 ntdtcsetup.log 24.08.2004 17:05 <DIR> nview 28.01.2006 17:18 259.308 ocgen.log 28.01.2006 17:18 24.559 ocmsn.log 28.01.2006 19:53 400 ODBC.INI 29.05.2004 20:31 4.161 ODBCINST.INI 26.07.2003 00:36 34.304 oeuninst.exe 21.11.2004 18:56 1.174 OEWABLog.txt 29.05.2004 20:30 <DIR> Offline Web Pages 28.01.2006 19:51 <DIR> PCHealth 21.11.2004 18:37 <DIR> PeerNet 12.02.2006 18:20 <DIR> Prefetch 17.12.2005 20:33 <DIR> Profiles 21.11.2004 18:37 <DIR> provisioning 02.04.2003 13:00 65.954 Pr„riewind.bmp 28.01.2006 23:03 <DIR> pss 11.02.2006 20:23 1.409 QTFont.for 04.08.2004 08:58 153.600 regedit.exe 11.02.2006 16:50 <DIR> RegisteredPackages 24.08.2004 00:31 <DIR> Registration 29.05.2004 20:34 8.192 REGLOCS.OLD 29.05.2004 03:23 1.348 regopt.log 29.05.2004 20:31 <DIR> repair 29.05.2004 04:19 <DIR> Resources 02.04.2003 13:00 17.362 Rhododendron.bmp 24.04.2005 11:33 87.787 Run32A50.mch 02.04.2003 13:00 65.832 Santa Fe-Stuck.bmp 12.02.2006 18:09 32.580 SchedLgU.Txt 11.02.2006 18:09 <DIR> security 02.04.2003 13:00 65.978 Seifenblase.bmp 21.11.2004 18:33 <DIR> ServicePackFiles 21.11.2004 18:38 1.330 sessmgr.setup.log 13.09.2004 20:09 <DIR> SETUP533 08.01.2003 13:43 163 Setup533.ini 17.12.2005 18:52 180.412 setupact.log 11.02.2006 20:05 317.239 setupapi.log 21.11.2004 17:19 1.354.281 setupapi.log.0.old 03.04.2005 19:42 2.305.086 setupapi.log.1.old 29.05.2004 03:23 0 setuperr.log 28.01.2006 19:52 <DIR> SHELLNEW 04.08.2004 08:58 32.866 slrundll.exe 30.08.2002 12:59 380.928 SynCor.exe 12.05.2003 15:55 978.944 SynthCoreA.Dll 28.01.2006 19:56 <DIR> system 11.02.2006 18:10 227 system.ini 12.02.2006 18:11 <DIR> system32 02.04.2003 13:00 15.872 TASKMAN.EXE 09.02.2006 18:44 40 teller2.chk 12.02.2006 18:10 <DIR> Temp 28.01.2006 17:18 195.559 tsoc.log 26.10.2001 17:22 14.381 Tw533a.ini 23.07.2001 07:53 7.431 Tw533a.src 02.04.2003 13:00 94.800 twain.dll 17.12.2005 21:39 <DIR> twain_32 04.08.2004 08:57 50.688 twain_32.dll 02.04.2003 13:00 49.680 twunk_16.exe 02.04.2003 13:00 25.600 twunk_32.exe 04.06.2005 17:09 <DIR> Ulead.dat 04.06.2005 17:11 932 Ulead32.ini 13.10.1997 19:55 299.008 unin0407.exe 11.02.2006 18:33 107.132 UninstallFirefox.exe 08.02.2006 19:52 107.132 UninstallThunderbird.exe 03.01.2006 17:45 1.989 uninstall_nmon.vbs 08.02.2006 20:22 0 uniq 10.11.1999 12:05 86.016 unvise32qt.exe 28.01.2006 17:18 22.048 updspapi.log 07.08.2002 18:10 12.201 USB_533.ini 07.08.2002 18:10 12.201 USB_CAM.ini 29.05.2004 20:29 36 vb.ini 29.05.2004 20:29 37 vbaddin.ini 03.04.2005 19:42 <DIR> VirtualEar 02.04.2003 13:00 18.944 vmmreg32.dll 21.11.2004 18:29 <DIR> Web 12.02.2006 18:10 157 wiadebug.log 12.02.2006 18:10 50 wiaservc.log 11.02.2006 18:10 729 win.ini 25.06.2004 19:59 836 Windows Update.log 12.02.2006 18:10 1.790.468 WindowsUpdate.log 02.04.2003 13:00 257.568 winhelp.exe 04.08.2004 08:58 288.768 winhlp32.exe 30.06.2004 19:47 61 wininit.ini 21.11.2004 18:38 <DIR> WinSxS 09.02.2006 18:43 69.632 winsysban7.exe 08.02.2006 20:22 20.480 winsysupd6.exe 09.02.2006 18:43 0 winsysupd61.dat 09.02.2006 18:43 20.480 winsysupd7.exe 11.02.2006 16:01 0 winsysupd71.dat 02.04.2003 13:00 34.818 wmprfDEU.prx 11.02.2006 16:51 246.744 wmsetup.log 11.02.2006 16:51 236 wmsetup10.log 11.02.2006 16:49 316.640 WMSysPr9.prx 29.05.2004 20:31 299.552 WMSysPrx.prx 24.08.2004 00:28 8.171 xpsp1hfm.log 02.04.2003 13:00 9.522 Zapotek.bmp 02.04.2003 13:00 707 _default.pif 218 Datei(en) 16.013.771 Bytes 47 Verzeichnis(se), 69.183.315.968 Bytes frei |
|
|
||
12.02.2006, 22:38
Ehrenmitglied
Beiträge: 29434 |
#4
Versteckte- und Systemdateien
http://virus-protect.org/invisible.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService] ---------------------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe O4 - HKCU\..\RunServices: [0utlook Express] ahddg.exe O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\o8480ihue8480.dll O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q29yaW5hIEtpbms\command.exe PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken suche /loesche: C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe C:\Programme\Gemeinsame Dateien\Windows\services32.exe C:\Programme\Gemeinsame Dateien\Windows\request.html C:\Programme\Gemeinsame Dateien\WinFixer 2005 C:\Programme\Gemeinsame Dateien\InetGet C:\WINDOWS\exefld C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\Q29yaW5hIEtpbms boote wieder in den normalmodus: arbeite das ab (am besten ebenfalls im abgesicherten Modus) http://virus-protect.org/artikel/bfu/delf_bfu.html L2mfix http://virus-protect.org/l2mfix.html arbeite Option 2 ab und poste nach neustart und scann den scanreport Zitat C:\WINDOWS\exefld __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2006, 13:35
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo Sabina!
Hat nun etwas länger gedauert, da es sich nicht um meinen Rechner handelt. Habe nun alles so ausgeführt, wie Du gesagt hast. Hoffe war alles richtig. Habe nun das Log aus dem L2mfix angehängt und nochmal den Hijackthis-log eingestellt. Vielen Dank!!! L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 552 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 828 'winlogon.exe' Killing PID 828 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 492 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1576 'rundll32.exe' Killing PID 2108 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\ir0ol5d31.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: adding: dlls/en0sl1d71.dll (184 bytes security) (deflated 5%) adding: dlls/hpui.dll (184 bytes security) (deflated 5%) adding: dlls/ir0ol5d31.dll (184 bytes security) (deflated 5%) adding: dlls/jt4o07h3e.dll (184 bytes security) (deflated 5%) adding: dlls/lv2m09f1e.dll (184 bytes security) (deflated 5%) adding: dlls/mzvcp50.dll (184 bytes security) (deflated 5%) adding: dlls/TnnLib20.dll (184 bytes security) (deflated 5%) adding: backregs/A01C41DD-B30A-4564-ADBB-E7DB2065437C.reg (188 bytes security) (deflated 70%) adding: backregs/ACFE95AE-D496-49AE-81EE-F4EC98F7921E.reg (188 bytes security) (deflated 70%) adding: backregs/notibac.reg (184 bytes security) (deflated 87%) adding: backregs/shell.reg (184 bytes security) (deflated 73%) Logfile of HijackThis v1.99.1 Scan saved at 11:59:27, on 16.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Corina\Desktop\michi\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O20 - Winlogon Notify: policies - C:\WINDOWS\system32\ir0ol5d31.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
16.02.2006, 14:32
Ehrenmitglied
Beiträge: 29434 |
#6
Andidrums
Fixe mit dem HijackThis: O20 - Winlogon Notify: policies - C:\WINDOWS\system32\ir0ol5d31.dll (file missing) PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Spysweeper (trial)--> poste den scanreport http://virus-protect.org/spysweeper.html ich mochte bitte noch mal zur Ueberpruefung alle Textdateien sehen ..siehe oben...also die 4 Logs von Datfindbat und list.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2006, 18:02
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo!
Anbei die verlangten Scan-Reports! Gruß Andi ******** 17:39: | Start of Session, Samstag, 18. Februar 2006 | 17:39: Spy Sweeper started 17:39: Sweep initiated using definitions version 617 17:39: Starting Memory Sweep 17:42: Memory Sweep Complete, Elapsed Time: 00:03:30 17:42: Starting Registry Sweep 17:42: Found Adware: azsearch toolbar 17:42: HKCR\addressbar.loader.1\ (3 subtraces) (ID = 103884) 17:42: HKCR\addressbar.loader\ (5 subtraces) (ID = 103885) 17:42: HKCR\clsid\{f65b197f-8260-4d52-909a-f70118e646eb}\ (8 subtraces) (ID = 103896) 17:42: HKLM\software\azesearchco\ (6 subtraces) (ID = 103906) 17:42: HKLM\software\classes\addressbar.loader.1\ (3 subtraces) (ID = 103907) 17:42: HKLM\software\classes\addressbar.loader\ (5 subtraces) (ID = 103908) 17:42: HKLM\software\classes\clsid\{f65b197f-8260-4d52-909a-f70118e646eb}\ (8 subtraces) (ID = 103920) 17:42: HKLM\software\loaderco\ (3 subtraces) (ID = 103942) 17:43: Found Adware: purityscan 17:43: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/conflict.1/mediaticketsinstaller.ocx\ (2 subtraces) (ID = 137984) 17:43: Found Adware: weirdontheweb 17:43: HKCR\amnotifier.hubawindow\ (5 subtraces) (ID = 866632) 17:43: Found Adware: mediapipe 17:43: HKCR\downloadmanager.manager\ (5 subtraces) (ID = 866642) 17:43: HKCR\downloadmanager.manager.1\ (3 subtraces) (ID = 866648) 17:43: HKCR\mpagent.agent\ (5 subtraces) (ID = 866662) 17:43: HKCR\mpagent.agent.1\ (3 subtraces) (ID = 866668) 17:43: HKCR\appid\amnotifier.exe\ (1 subtraces) (ID = 866682) 17:43: HKCR\appid\downloadmanager.exe\ (1 subtraces) (ID = 866684) 17:43: HKCR\appid\mpagent.dll\ (1 subtraces) (ID = 866688) 17:43: HKCR\appid\trayicon.exe\ (1 subtraces) (ID = 866692) 17:43: HKCR\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\ (1 subtraces) (ID = 866694) 17:43: HKCR\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\ (1 subtraces) (ID = 866698) 17:43: HKCR\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\ (1 subtraces) (ID = 866702) 17:43: HKCR\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\ (1 subtraces) (ID = 866704) 17:43: HKCR\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\ (7 subtraces) (ID = 866706) 17:43: HKCR\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\ (7 subtraces) (ID = 866735) 17:43: Found Trojan Horse: p2pnetwork 17:43: HKCR\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\ (7 subtraces) (ID = 866747) 17:43: HKLM\software\mediapipe\ (16 subtraces) (ID = 866893) 17:43: HKLM\software\classes\amnotifier.hubawindow\ (5 subtraces) (ID = 866911) 17:43: HKLM\software\classes\downloadmanager.manager\ (5 subtraces) (ID = 866921) 17:43: HKLM\software\classes\downloadmanager.manager.1\ (3 subtraces) (ID = 866927) 17:43: HKLM\software\classes\mpagent.agent\ (5 subtraces) (ID = 866941) 17:43: HKLM\software\classes\mpagent.agent.1\ (3 subtraces) (ID = 866947) 17:43: HKLM\software\classes\appid\amnotifier.exe\ (1 subtraces) (ID = 866961) 17:43: HKLM\software\classes\appid\downloadmanager.exe\ (1 subtraces) (ID = 866963) 17:43: HKLM\software\classes\appid\mpagent.dll\ (1 subtraces) (ID = 866967) 17:43: HKLM\software\classes\appid\trayicon.exe\ (1 subtraces) (ID = 866971) 17:43: HKLM\software\classes\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\ (1 subtraces) (ID = 866973) 17:43: HKLM\software\classes\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\ (1 subtraces) (ID = 866977) 17:43: HKLM\software\classes\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\ (1 subtraces) (ID = 866981) 17:43: HKLM\software\classes\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\ (1 subtraces) (ID = 866983) 17:43: HKLM\software\classes\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\ (7 subtraces) (ID = 866985) 17:43: HKLM\software\classes\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\ (7 subtraces) (ID = 867014) 17:43: HKLM\software\classes\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\ (7 subtraces) (ID = 867026) 17:43: Found Adware: command 17:43: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\0000\ (6 subtraces) (ID = 1016064) 17:43: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\ (8 subtraces) (ID = 1016072) 17:43: Found Adware: cashdeluxe 17:43: HKCR\winapi32.mybho\ (1 subtraces) (ID = 1106882) 17:43: HKLM\software\classes\winapi32.mybho\ (1 subtraces) (ID = 1106946) 17:43: Found Adware: winantispyware 2005 17:43: HKCR\uwfxcheck.uwfxcheck\ (5 subtraces) (ID = 1128629) 17:43: HKCR\uwfxcheck.uwfxcheck.1\ (3 subtraces) (ID = 1128635) 17:43: HKCR\clsid\{9f3d2a3c-d537-482b-a91b-44ee29f09c4b}\ (9 subtraces) (ID = 1128710) 17:43: HKLM\software\classes\uwfxcheck.uwfxcheck\ (5 subtraces) (ID = 1129021) 17:43: HKLM\software\classes\uwfxcheck.uwfxcheck.1\ (3 subtraces) (ID = 1129027) 17:43: HKLM\software\classes\clsid\{9f3d2a3c-d537-482b-a91b-44ee29f09c4b}\ (9 subtraces) (ID = 1129102) 17:43: Found Adware: dollarrevenue 17:43: HKLM\software\microsoft\drsmartload2\ (1 subtraces) (ID = 1134137) 17:43: Found Adware: cws-aboutblank 17:43: HKU\S-1-5-21-2000478354-813497703-725345543-1004\software\microsoft\internet explorer\main\ || homeoldsp (ID = 115923) 17:43: Found Trojan Horse: mitglieder_trojan 17:43: HKU\S-1-5-21-2000478354-813497703-725345543-1004\software\datetime\ (4 subtraces) (ID = 135123) 17:43: Found Adware: maxifiles 17:43: HKU\S-1-5-18\software\xbtb07618\ (59 subtraces) (ID = 134858) 17:43: Found Trojan Horse: rbot 17:43: HKU\S-1-5-18\software\microsoft\windows\currentversion\run\ || microsoft update machine (ID = 139242) 17:43: HKU\S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping\ || {77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f} (ID = 1021025) 17:43: Registry Sweep Complete, Elapsed Time:00:00:50 17:43: Starting Cookie Sweep 17:43: Found Spy Cookie: 2o7.net cookie 17:43: corina@2o7[2].txt (ID = 1957) 17:43: Found Spy Cookie: falkag cookie 17:43: corina@as-eu.falkag[1].txt (ID = 2650) 17:43: corina@as1.falkag[1].txt (ID = 2650) 17:43: Found Spy Cookie: atlas dmt cookie 17:43: corina@atdmt[2].txt (ID = 2253) 17:43: Found Spy Cookie: xhit cookie 17:43: corina@count.xhit[1].txt (ID = 3714) 17:43: Found Spy Cookie: mediaplex cookie 17:43: corina@mediaplex[1].txt (ID = 6442) 17:43: corina@sel.as-eu.falkag[1].txt (ID = 2650) 17:43: Found Spy Cookie: statcounter cookie 17:43: corina@statcounter[2].txt (ID = 3447) 17:43: Cookie Sweep Complete, Elapsed Time: 00:00:00 17:43: Starting File Sweep 17:43: c:\my accessmedia (1 subtraces) (ID = -2147469182) 17:44: mediaticketsinstaller.inf (ID = 73158) 17:52: Found Adware: look2me 17:52: en0sl1d71.dll (ID = 159) 17:52: jt4o07h3e.dll (ID = 159) 17:53: hpui.dll (ID = 159) 17:53: lv2m09f1e.dll (ID = 159) 17:53: mzvcp50.dll (ID = 159) 17:53: tnnlib20.dll (ID = 159) 17:53: ir0ol5d31.dll (ID = 159) 17:54: Found Adware: findthewebsiteyouneed hijacker 17:54: winsysban8[1].exe (ID = 245942) 17:55: backup-20060213-192733-477.inf (ID = 50329) 17:55: Found Adware: twain-tech 17:55: do27.inf (ID = 81896) 17:55: twaintec.inf (ID = 81888) 17:55: kz6vuqc1khqdvap.vbs (ID = 185675) 17:55: File Sweep Complete, Elapsed Time: 00:11:42 17:55: Full Sweep has completed. Elapsed time 00:16:13 17:55: Traces Found: 354 17:55: Removal process initiated 17:56: Quarantining All Traces: cws-aboutblank 17:56: Quarantining All Traces: look2me 17:56: Quarantining All Traces: mitglieder_trojan 17:56: Quarantining All Traces: purityscan 17:56: Quarantining All Traces: rbot 17:56: Quarantining All Traces: azsearch toolbar 17:56: Quarantining All Traces: dollarrevenue 17:56: Quarantining All Traces: maxifiles 17:56: Quarantining All Traces: p2pnetwork 17:56: Quarantining All Traces: cashdeluxe 17:56: Quarantining All Traces: command 17:56: Quarantining All Traces: findthewebsiteyouneed hijacker 17:56: Quarantining All Traces: mediapipe 17:56: Quarantining All Traces: twain-tech 17:56: Quarantining All Traces: weirdontheweb 17:56: Quarantining All Traces: 2o7.net cookie 17:56: Quarantining All Traces: atlas dmt cookie 17:56: Quarantining All Traces: falkag cookie 17:56: Quarantining All Traces: mediaplex cookie 17:56: Quarantining All Traces: statcounter cookie 17:56: Quarantining All Traces: winantispyware 2005 17:56: Quarantining All Traces: xhit cookie 17:56: Removal process completed. Elapsed time 00:00:23 ******** 17:34: | Start of Session, Samstag, 18. Februar 2006 | 17:34: Spy Sweeper started 17:35: Your spyware definitions have been updated. 17:38: Updating spyware definitions 17:38: Your definitions are up to date. 17:39: | End of Session, Samstag, 18. Februar 2006 | Verzeichnis von C:\WINDOWS\system32 18.02.2006 17:26 4.452 nvapps.xml 18.02.2006 11:10 2.422 wpa.dbl 15.02.2006 22:01 0 asfiles.txt 15.02.2006 21:56 2.550 Uninstall.ico 15.02.2006 21:56 1.406 Help.ico 15.02.2006 21:56 30.590 pavas.ico 13.02.2006 21:05 0 lo2.txtt 11.02.2006 16:50 16.832 amcompat.tlb 11.02.2006 16:50 23.392 nscompat.tlb 10.02.2006 20:51 220.040 FNTCACHE.DAT 08.02.2006 06:23 4.513.120 MRT.exe 03.02.2006 21:09 383.254 perfh009.dat 03.02.2006 21:09 53.608 perfc009.dat 03.02.2006 21:09 394.500 perfh007.dat 03.02.2006 21:09 64.598 perfc007.dat Verzeichnis von C:\DOKUME~1\Corina\LOKALE~1\Temp 18.02.2006 17:26 49.152 ~DFE6E3.tmp 18.02.2006 17:26 32.768 ~DFD710.tmp 18.02.2006 17:26 16.384 ~DFFA53.tmp 18.02.2006 17:03 0 TWAIN.LOG 18.02.2006 17:03 2 Twain001.Mtx 14.02.2006 18:16 16.384 ~DF4B84.tmp 13.02.2006 22:35 919.931 tmp.xpi 13.02.2006 22:28 49.152 ~DF59F.tmp 13.02.2006 22:28 32.768 ~DFF229.tmp 13.02.2006 22:27 16.384 ~DF6E6.tmp 13.02.2006 21:48 1.212.416 ~DF5FF8.tmp 13.02.2006 21:47 49.152 ~DFAEA0.tmp 13.02.2006 21:47 32.768 ~DFA3C7.tmp 13.02.2006 21:47 16.384 ~DF8211.tmp 13.02.2006 20:59 80.856 dat2.tmp 13.02.2006 20:48 11.004 MPC1.tmp 54 Datei(en) 3.656.185 Bytes 0 Verzeichnis(se), 59.939.725.312 Bytes frei Verzeichnis von C:\WINDOWS 18.02.2006 17:34 900 win.ini 18.02.2006 17:26 0 0.log 18.02.2006 17:26 1.945.178 WindowsUpdate.log 18.02.2006 17:26 159 wiadebug.log 18.02.2006 17:26 50 wiaservc.log 18.02.2006 17:26 2.048 bootstat.dat 18.02.2006 17:25 32.562 SchedLgU.Txt 17.02.2006 19:48 364.758 setupapi.log 15.02.2006 23:35 29.789 spupdsvc.log 15.02.2006 23:34 25.927 ocmsn.log 15.02.2006 23:34 185.947 comsetup.log 15.02.2006 23:34 113.182 ntdtcsetup.log 15.02.2006 23:34 204.995 tsoc.log 15.02.2006 23:34 1.374 imsins.log 15.02.2006 23:34 81.675 iis6.log 15.02.2006 23:34 10.589 KB911927.log 15.02.2006 23:34 270.972 ocgen.log 15.02.2006 23:34 26.377 msgsocm.log 15.02.2006 23:34 517.812 FaxSetup.log 15.02.2006 23:34 22.400 updspapi.log 15.02.2006 23:34 1.374 imsins.BAK 15.02.2006 23:34 7.084 KB911564.log 15.02.2006 23:34 247.212 wmsetup.log 15.02.2006 23:34 7.556 KB911565.log 15.02.2006 23:33 6.563 KB913446.log 15.02.2006 21:43 503.098 ntbtlog.txt 13.02.2006 22:35 5.747 mozver.dat 13.02.2006 19:17 0 winsysupd81.dat 11.02.2006 18:33 107.132 UninstallFirefox.exe 11.02.2006 18:10 227 system.ini 11.02.2006 16:51 236 wmsetup10.log 11.02.2006 16:49 316.640 WMSysPr9.prx 08.02.2006 19:53 0 nsreg.dat 08.02.2006 19:52 107.132 UninstallThunderbird.exe 05.02.2006 16:19 13.125 LUINSTALL.LOG 28.01.2006 19:53 400 ODBC.INI 28.01.2006 17:18 14.747 KB896424.log 28.01.2006 17:18 9.983 KB910437.log 28.01.2006 17:18 15.843 KB905915.log 28.01.2006 17:18 11.242 KB912919.log 28.01.2006 17:18 10.402 KB908519.log 25.01.2006 11:06 478.720 WRUninstall.dll 10.01.2006 19:07 0 MSDraw.ini 06.01.2006 14:15 29.974 ModemLog_Motorola USB Modem #2.txt 02.01.2006 18:05 94 cdplayer.ini 18.12.2005 20:03 84.305 DirectX.log 18.12.2005 20:03 323 doom3.ini 17.12.2005 21:07 22 FLASHKSK.INI 17.12.2005 18:52 180.412 setupact.lo Verzeichnis von C:\ 18.02.2006 18:01 0 sys.txt 18.02.2006 18:01 11.377 system.txt 18.02.2006 18:00 2.863 systemtemp.txt 18.02.2006 17:59 100.329 system32.txt 18.02.2006 17:26 268.013.568 hiberfil.sys 18.02.2006 17:26 402.653.184 pagefile.sys 12.02.2006 18:25 17.599 files.txt 11.02.2006 18:10 211 boot.ini 28.01.2006 22:33 113 ps_system_Zeit.txt 26.12.2005 17:47 156 NeroTemp.nrg 17.12.2005 20:21 162 TO_InstallLog.txt 09.08.2005 20:38 168 setupfax.log 09.08.2005 19:30 0 DBS.TXT 21.11.2004 18:28 47.564 NTDETECT.COM 21.11.2004 18:28 251.184 ntldr 04.10.2004 17:35 2.264 log.txt 24.06.2004 21:37 2.689 TDSLCheck.txt 29.05.2004 20:31 0 MSDOS.SYS 29.05.2004 20:31 0 AUTOEXEC.BAT 29.05.2004 20:31 0 CONFIG.SYS 29.05.2004 20:31 0 IO.SYS 02.04.2003 13:00 4.952 bootfont.bin 22 Datei(en) 671.108.383 Bytes 0 Verzeichnis(se), 59.939.725.312 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows 11.02.2006 16:21 <DIR> . 11.02.2006 16:21 <DIR> .. 02.11.2005 10:00 171.520 AutoIt3.exe 08.02.2006 20:23 436.932 mc-110-12-0000228.exe 04.02.2004 14:06 45.136 psapi.dll 11.02.2006 16:21 27 request.html 31.07.2005 17:29 126.976 services32.exe 5 Datei(en) 780.591 Bytes 2 Verzeichnis(se), 69.183.348.736 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien 08.02.2006 21:22 <DIR> . 08.02.2006 21:22 <DIR> .. 17.12.2005 20:33 <DIR> Adobe 28.01.2006 21:39 <DIR> Ahead 28.01.2006 19:51 <DIR> DESIGNER 29.05.2004 20:29 <DIR> Dienste 06.03.2005 17:07 <DIR> Digi338 28.01.2006 22:27 <DIR> element5 Shared 08.02.2006 20:22 <DIR> InetGet 09.08.2005 19:27 <DIR> InstallShield 28.01.2006 19:56 <DIR> Microsoft Shared 29.05.2004 20:29 <DIR> MSSoap 17.12.2005 22:20 <DIR> NewSoft 29.05.2004 03:23 <DIR> ODBC 08.02.2006 20:34 <DIR> rzor 29.05.2004 03:23 <DIR> SpeechEngines 02.02.2006 18:30 <DIR> SWF Studio 05.02.2006 16:23 <DIR> Symantec Shared 28.01.2006 19:51 <DIR> System 11.02.2006 16:21 <DIR> Windows 10.02.2006 20:45 <DIR> WinFixer 2005 08.02.2006 21:22 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 22 Verzeichnis(se), 69.183.344.640 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 28.01.2006 19:51 <DIR> . 28.01.2006 19:51 <DIR> .. 28.01.2006 19:51 <DIR> 1031 28.01.2006 19:51 <DIR> 1033 11.07.2003 02:15 1.292.872 MSONSEXT.DLL 14.07.2003 22:52 35.896 MSOSV.DLL 19.03.1999 21:46 127.032 MSOWS407.DLL 04.06.1999 14:09 122.937 MSOWS409.DLL 11.07.2003 02:25 80.448 PKMWS.DLL 5 Datei(en) 1.659.185 Bytes 4 Verzeichnis(se), 69.183.344.640 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\WINDOWS 12.02.2006 18:08 <DIR> . 12.02.2006 18:08 <DIR> .. 12.02.2006 18:10 0 0.log 24.04.2005 11:32 35 A5W.INI 24.04.2005 11:33 <DIR> A5W_DATA 20.06.2004 22:49 7.204 Active Setup Log.txt 29.05.2004 04:19 <DIR> addins 02.04.2003 13:00 17.336 Angler.bmp 21.11.2004 18:47 <DIR> AppPatch 03.04.2005 19:41 3.289 Ascd_tmp.ini 08.02.2006 20:22 12.344 azesearch.bmp 12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&220.xml 12.07.2004 20:03 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&315.xml 12.07.2004 20:01 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&382.xml 12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&383.xml 12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&940.xml 12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&531.xml 12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&561.xml 12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+MOTORRAD&628.xml 12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&421.xml 12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&593.xml 12.07.2004 19:58 2.286 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC+43&19.xml 12.07.2004 19:59 0 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC43&45.xml 02.04.2003 13:00 1.272 Blaue Spitzen 16.bmp 16.01.2003 14:11 2.148 ca533a.ini 02.01.2006 18:05 94 cdplayer.ini 24.08.2004 00:29 <DIR> Downloaded Installations 29.05.2004 04:19 <DIR> Driver Cache 08.02.2006 20:23 42 drsmartload2.dat 21.11.2004 18:50 360 DtcInstall.log 21.11.2004 18:22 <DIR> EHome 28.01.2006 16:12 <DIR> exefld 04.08.2004 08:57 1.035.264 explorer.exe 02.04.2003 13:00 80 explorer.scf 28.01.2006 17:18 493.082 FaxSetup.log 02.04.2003 13:00 16.730 Feder.bmp 17.12.2005 21:07 22 FLASHKSK.INI 02.04.2003 13:00 26.680 F„cher.bmp 10.02.2006 18:28 24.576 gimmygames.exe 08.02.2006 20:23 0 gimmygames1.dat 02.04.2003 13:00 26.582 Granit.bmp 11.02.2006 16:50 <DIR> Help 27.05.2005 00:22 10.752 hh.exe 11.02.2006 18:17 50.912 iconu.exe 17.05.2005 21:21 30 Iedit.INI 03.03.2003 15:25 34.304 ieuninst.exe 11.02.2006 20:05 77.679 iis6.log 28.01.2006 17:18 25.141 msgsocm.log 29.05.2004 04:19 <DIR> mui 18.06.2004 13:40 33.280 muninst.exe 08.02.2006 20:23 0 myupdates1.dat 04.08.2004 08:58 70.144 notepad.exe 08.02.2006 19:53 0 nsreg.dat 28.01.2006 17:18 108.122 ntdtcsetup.log 24.08.2004 17:05 <DIR> nview 28.01.2006 17:18 259.308 ocgen.log 28.01.2006 17:18 24.559 ocmsn.log 28.01.2006 19:53 400 ODBC.INI 29.05.2004 20:31 4.161 ODBCINST.INI 26.07.2003 00:36 34.304 oeuninst.exe 21.11.2004 18:56 1.174 OEWABLog.txt 02.04.2003 13:00 15.872 TASKMAN.EXE 09.02.2006 18:44 40 teller2.chk 12.02.2006 18:10 <DIR> Temp 03.01.2006 17:45 1.989 uninstall_nmon.vbs 08.02.2006 20:22 0 uniq 10.11.1999 12:05 86.016 unvise32qt.exe 28.01.2006 17:18 22.048 updspapi.log 07.08.2002 18:10 12.201 USB_533.ini 07.08.2002 18:10 12.201 USB_CAM.ini 29.05.2004 20:29 36 vb.ini 29.05.2004 20:29 37 vbaddin.ini 03.04.2005 19:42 <DIR> VirtualEar 02.04.2003 13:00 18.944 vmmreg32.dll 21.11.2004 18:29 <DIR> Web 12.02.2006 18:10 157 wiadebug.log 12.02.2006 18:10 50 wiaservc.log 11.02.2006 18:10 729 win.ini 25.06.2004 19:59 836 Windows Update.log 12.02.2006 18:10 1.790.468 WindowsUpdate.log 02.04.2003 13:00 257.568 winhelp.exe 04.08.2004 08:58 288.768 winhlp32.exe 30.06.2004 19:47 61 wininit.ini 21.11.2004 18:38 <DIR> WinSxS 09.02.2006 18:43 69.632 winsysban7.exe 08.02.2006 20:22 20.480 winsysupd6.exe 09.02.2006 18:43 0 winsysupd61.dat 09.02.2006 18:43 20.480 winsysupd7.exe 11.02.2006 16:01 0 winsysupd71.dat 02.04.2003 13:00 34.818 wmprfDEU.prx 11.02.2006 16:51 246.744 wmsetup.log 11.02.2006 16:51 236 wmsetup10.log 11.02.2006 16:49 316.640 WMSysPr9.prx 29.05.2004 20:31 299.552 WMSysPrx.prx 24.08.2004 00:28 8.171 xpsp1hfm.log 02.04.2003 13:00 9.522 Zapotek.bmp 02.04.2003 13:00 707 _default.pif 218 Datei(en) 16.013.771 Bytes 47 Verzeichnis(se), 69.183.315.968 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows 13.02.2006 19:37 <DIR> . 13.02.2006 19:37 <DIR> .. 04.02.2004 14:06 45.136 psapi.dll 1 Datei(en) 45.136 Bytes 2 Verzeichnis(se), 59.939.725.312 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien 13.02.2006 19:37 <DIR> . 13.02.2006 19:37 <DIR> .. 17.12.2005 20:33 <DIR> Adobe 18.02.2006 00:40 <DIR> Ahead 28.01.2006 19:51 <DIR> DESIGNER 29.05.2004 20:29 <DIR> Dienste 06.03.2005 17:07 <DIR> Digi338 28.01.2006 22:27 <DIR> element5 Shared 09.08.2005 19:27 <DIR> InstallShield 28.01.2006 19:56 <DIR> Microsoft Shared 29.05.2004 20:29 <DIR> MSSoap 17.12.2005 22:20 <DIR> NewSoft 29.05.2004 03:23 <DIR> ODBC 08.02.2006 20:34 <DIR> rzor 29.05.2004 03:23 <DIR> SpeechEngines 02.02.2006 18:30 <DIR> SWF Studio 05.02.2006 16:23 <DIR> Symantec Shared 28.01.2006 19:51 <DIR> System 13.02.2006 19:37 <DIR> Windows 08.02.2006 21:22 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 59.939.725.312 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 28.01.2006 19:51 <DIR> . 28.01.2006 19:51 <DIR> .. 28.01.2006 19:51 <DIR> 1031 28.01.2006 19:51 <DIR> 1033 11.07.2003 02:15 1.292.872 MSONSEXT.DLL 14.07.2003 22:52 35.896 MSOSV.DLL 19.03.1999 21:46 127.032 MSOWS407.DLL 04.06.1999 14:09 122.937 MSOWS409.DLL 11.07.2003 02:25 80.448 PKMWS.DLL 5 Datei(en) 1.659.185 Bytes 4 Verzeichnis(se), 59.939.725.312 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\Programme\Gemeinsame Dateien 13.02.2006 19:37 <DIR> . 13.02.2006 19:37 <DIR> .. 17.12.2005 20:33 <DIR> Adobe 18.02.2006 00:40 <DIR> Ahead 28.01.2006 19:51 <DIR> DESIGNER 29.05.2004 20:29 <DIR> Dienste 06.03.2005 17:07 <DIR> Digi338 28.01.2006 22:27 <DIR> element5 Shared 09.08.2005 19:27 <DIR> InstallShield 28.01.2006 19:56 <DIR> Microsoft Shared 29.05.2004 20:29 <DIR> MSSoap 17.12.2005 22:20 <DIR> NewSoft 29.05.2004 03:23 <DIR> ODBC 08.02.2006 20:34 <DIR> rzor 29.05.2004 03:23 <DIR> SpeechEngines 02.02.2006 18:30 <DIR> SWF Studio 05.02.2006 16:23 <DIR> Symantec Shared 28.01.2006 19:51 <DIR> System 13.02.2006 19:37 <DIR> Windows 08.02.2006 21:22 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 59.939.721.216 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\WINDOWS\Q29yaW5hIEtpbms Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CC0-F040 Verzeichnis von C:\WINDOWS 18.02.2006 17:34 <DIR> . 18.02.2006 17:34 <DIR> .. 18.02.2006 17:26 0 0.log 24.04.2005 11:32 35 A5W.INI 24.04.2005 11:33 <DIR> A5W_DATA 20.06.2004 22:49 7.204 Active Setup Log.txt 29.05.2004 04:19 <DIR> addins 02.04.2003 13:00 17.336 Angler.bmp 15.02.2006 22:22 <DIR> AppPatch 03.04.2005 19:41 3.289 Ascd_tmp.ini 12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&220.xml 12.07.2004 20:03 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&315.xml 12.07.2004 20:01 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&382.xml 12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&383.xml 12.07.2004 20:00 0 b2_t_K+UND+N+FILTER+HONDA+RC+43&940.xml 12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&531.xml 12.07.2004 20:05 0 b2_t_K+UND+N+FILTER+MOTORRAD&561.xml 12.07.2004 20:04 0 b2_t_K+UND+N+FILTER+MOTORRAD&628.xml 12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&421.xml 12.07.2004 19:33 1.453 b2_t_K.U.N.+FILTER+F%C3%BCR+MOTORR%C3%A4DER&593.xml 12.07.2004 19:58 2.286 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC+43&19.xml 12.07.2004 19:59 0 b2_t_LUFTFILTER+HONDA+MOTORRAD+RC43&45.xml 02.04.2003 13:00 1.272 Blaue Spitzen 16.bmp 16.01.2003 14:11 2.148 ca533a.ini 02.01.2006 18:05 94 cdplayer.ini 02.04.2003 13:00 82.944 clock.avi 21.11.2004 18:39 200 cmsetacl.log 24.08.2004 00:32 1.450 COM+.log 15.02.2006 23:34 185.947 comsetup.log 29.05.2004 04:19 <DIR> Config 29.05.2004 04:19 <DIR> Connection Wizard 29.05.2004 20:31 0 control.ini 20.06.2004 22:49 <DIR> Cursors 23.08.2004 23:40 19.660 dahotfix.log 08.02.2006 19:53 0 nsreg.dat 15.02.2006 21:43 503.098 ntbtlog.txt 15.02.2006 23:34 113.182 ntdtcsetup.log |
|
|
||
18.02.2006, 21:33
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo,
loeschen: C:\WINDOWS\winsysupd81.dat C:\WINDOWS\myupdates1.dat C:\WINDOWS\azesearch.bmp C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\uniq C:\WINDOWS\exefld C:\WINDOWS\teller2.chk C:\WINDOWS\winsysban7.exe C:\WINDOWS\winsysupd6.exe C:\WINDOWS\winsysupd61.dat C:\WINDOWS\winsysupd7.exe C:\WINDOWS\winsysupd71.dat C:\WINDOWS\gimmygames.exe C:\WINDOWS\gimmygames1.dat C:\WINDOWS\nsreg.dat C:\WINDOWS\iconu.exe C:\DOKUME~1\Corina\LOKALE~1\Temp\tmp.xpi C:\DOKUME~1\Corina\LOKALE~1\Temp\dat2.tmp C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe C:\Programme\Gemeinsame Dateien\Windows\request.html C:\Programme\Gemeinsame Dateien\Windows\services32.exe C:\Programme\Gemeinsame Dateien\Windows C:\Programme\Gemeinsame Dateien\InetGet C:\Programme\Gemeinsame Dateien\rzor C:\Programme\Gemeinsame Dateien\WinFixer 2005 noch einmal Cleanup anwenden+ PC neustarten http://virus-protect.org/cleanup.html arbeite die bfu ab: http://virus-protect.org/artikel/bfu/delf_bfu.html scanne mit panda und kopiere den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.02.2006, 20:07
...neu hier
Themenstarter Beiträge: 8 |
#9
hallo!
hoffe das hier ist der richtige report. Die Dateien in Deiner Antwort hat er nicht alle gefunden, aber die die er gefunden hat haben wir gelöscht. Incident Status Location Adware:adware/maxifiles Not disinfected Windows Registry Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[as1.falkag.de/] Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.2o7.net/] Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.doubleclick.net/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.apmebf.com/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[en0sl1d71.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[hpui.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[ir0ol5d31.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[jt4o07h3e.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[lv2m09f1e.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[mzvcp50.dll] Adware:Adware/Look2Me Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\backup.zip[TnnLib20.dll] Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix\Process.exe Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\27439D3B-02FD-4740-A486-5586C5 Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\43B7302C-66E2-4423-9862-3AF8B6 Adware:Adware/SaveNow Not disinfected C:\RECYCLER\S-1-5-21-842925246-926492609-725345543-1003\Do29.exe Adware:Adware/MediaTickets Not disinfected C:\WINDOWS\KS.EXE Adware:Adware/MediaTickets |
|
|
||
25.02.2006, 00:19
Ehrenmitglied
Beiträge: 29434 |
#10
Andidrums
das sieht doch schon gut aus 1. leere den Papierkorb. 2 loesche mit der killbox: C:\RECYCLER\S-1-5-21-842925246-926492609-725345543-1003\Do29.exe C:\WINDOWS\KS.EXE 3. loesche: C:\Dokumente und Einstellungen\Corina\Desktop\Neuer Ordner\l2mfix 4. scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html ---------------------------------------------------------------------------------- ( scanne noch mal mit Counterspy... nach dem Scann stelle alle Quarantaine auf Remove Zitat *Ignore __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.02.2006, 15:50
...neu hier
Themenstarter Beiträge: 8 |
#11
Hallo!!
Hier der report vom Panda-Scan! Hab Counterspy auch ausgeführt! Fand noch 2 Dateien, die ich dann gelöscht habe! Incident Status Location Adware:adware/maxifiles Not disinfected Windows Registry Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@2o7[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@as1.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[as1.falkag.de/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.apmebf.com/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.2o7.net/] Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[.doubleclick.net/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\082rc34m.default\cookies.txt[] Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@2o7[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Corina\Cookies\corina@as1.falkag[1].txt Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\27439D3B-02FD-4740-A486-5586C5 Adware:Adware/CommAd Not disinfected C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5C57C033-F31F-4C0E-B2EA-A27BF7\43B7302C-66E2-4423-9862-3AF8B6 Adware:Adware/MediaTickets Not disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNI7QDWF\mtu[1].exe[KS.EXE] |
|
|
||
26.02.2006, 18:47
Ehrenmitglied
Beiträge: 29434 |
#12
Andidrums
1. stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken so wird hoffentlich geloescht: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNI7QDWF 3. PC neustarten 4. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.02.2006, 14:45
...neu hier
Themenstarter Beiträge: 8 |
#13
Hallo!
Hier die Log vom Hijackthis. Gruß Andi Logfile of HijackThis v1.99.1 Scan saved at 14:39:05, on 27.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Corina\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
27.02.2006, 15:00
Ehrenmitglied
Beiträge: 29434 |
#14
Andidrums
deinstalliere Counterspy (ist nur zwei Wochen free) Lade stattdessen Windows Defender (free) http://virus-protect.org/ms.html dann muesste wieder alles in Ordnung sein ... uff.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.02.2006, 15:22
...neu hier
Themenstarter Beiträge: 8 |
#15
Perfekt! Vielen Dank auch.
Bin sehr angetan von der Hilfsbereitschaft. Zum Glück gibts es Leute, wie Dich! Vielen Dank nochmal. Gruß Andi |
|
|
||
Habe mir wahrscheinlich den Virus/ Trojaner eingefangen. Mach sowas zum ersten Mal und kenn mich deshalb nicht so richtig aus. Habe vorab aber schon mal die Log von Hijackthis erstellen lassen. Bitte um Hilfe!!!
Logfile of HijackThis v1.99.1
Scan saved at 19:01:33, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Q29yaW5hIEtpbms\command.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\winsysban7.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Corina\Desktop\michi\Neuer Ordner\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/vek/signup.pl?code=stcd01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe
O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - HKCU\..\RunServices: [0utlook Express] ahddg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\o8480ihue8480.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q29yaW5hIEtpbms\command.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe