408 HTA Warnung

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.02.2006, 10:58
Member

Beiträge: 16
#1 Hallo,

ich bekomme beim Aufrufen meines Internet Explorers bei jedem zweiten oder dritten Versuch die Anzeige "Privacy Violation in Progress" 408 HTA Warnung. Dies ist verbunden mit der Aufforderung eine Software runterzuladen, die das Problem angeblich löst. Das nervige Programm ist weder mit "AD Aware" noch mit "Anti Vir" noch mit "MS AntiSpyWare" zu erfassen und zu beseitigen. Wer kann mir helfen

Schnippi
Seitenanfang Seitenende
23.02.2006, 13:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 schnippi

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2006, 12:09
Member

Themenstarter

Beiträge: 16
#3 Logfile of HijackThis v1.99.1
Scan saved at 12:01:37, on 24.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\Digital Imaging\HP Print Screen\prnsys.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\DOKUME~1\Ulrich\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrnSys Executable] D:\Digital Imaging\HP Print Screen\PrnSys.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125416945388
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125474724593
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A9B7570-EAF0-464C-B906-90C5F83CE758}: NameServer = 213.20.248.36 193.189.244.205
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
24.02.2006, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 schnippi

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2006, 13:00
Member

Themenstarter

Beiträge: 16
#5 Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 907A-CF1E

Verzeichnis von C:\WINDOWS\system32

24.02.2006 12:51 8.288 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
24.02.2006 12:51 35.870 vsconfig.xml
19.02.2006 17:38 38 getfile.dat
19.02.2006 13:20 1.158 wpa.dbl
08.02.2006 06:23 4.513.120 MRT.exe
04.02.2006 18:03 6 reboot.txt
18.01.2006 13:05 57.344 avsda.dll
11.01.2006 17:51 182.632 FNTCACHE.DAT
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
15.12.2005 22:48 52 ncompat.tlb
06.12.2005 06:02 5.533.696 wmp.dll
04.12.2005 13:14 4.212 zllictbl.dat
04.12.2005 11:49 51.204 perfc009.dat
04.12.2005 11:49 375.406 perfh009.dat
04.12.2005 11:49 61.968 perfc007.dat
04.12.2005 11:49 385.728 perfh007.dat
01.12.2005 04:31 1.492.480 shdocvw.dll
25.11.2005 14:47 886.968 PerfStringBackup.INI
25.11.2005 14:46 0 $winnt$.inf
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
Seitenanfang Seitenende
24.02.2006, 13:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 es sind vier Textdateien ;)

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2006, 19:00
Member

Themenstarter

Beiträge: 16
#7 Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 907A-CF1E

Verzeichnis von C:\WINDOWS

24.02.2006 12:59 32.480 SchedLgU.Txt
24.02.2006 12:51 0 0.log
24.02.2006 12:50 1.677.145 WindowsUpdate.log
24.02.2006 12:50 159 wiadebug.log
24.02.2006 12:50 50 wiaservc.log
24.02.2006 12:50 2.048 bootstat.dat
23.02.2006 19:42 945 WIN.INI
21.02.2006 20:58 107.132 UninstallThunderbird.exe
21.02.2006 20:58 3.504 mozver.dat
16.02.2006 14:27 3.002 setupact.log
16.02.2006 13:54 923 spupdsvc.log
16.02.2006 13:52 36.915 comsetup.log
16.02.2006 13:52 18.839 iis6.log
16.02.2006 13:52 45.803 tsoc.log
16.02.2006 13:52 1.374 imsins.log
16.02.2006 13:52 22.744 ntdtcsetup.log
16.02.2006 13:52 6.283 ocmsn.log
16.02.2006 13:52 6.894 KB913446.log
16.02.2006 13:52 55.301 ocgen.log
16.02.2006 13:52 5.732 msgsocm.log
16.02.2006 13:52 112.401 FaxSetup.log
16.02.2006 13:52 169.771 setupapi.log
16.02.2006 13:52 1.374 imsins.BAK
16.02.2006 13:52 9.115 KB911564.log
16.02.2006 13:52 2.823 wmsetup.log
16.02.2006 13:52 1.270 avmcoins.log
16.02.2006 13:52 11.016 KB911927.log
16.02.2006 13:52 13.787 updspapi.log
16.02.2006 13:52 8.859 KB911565.log
09.02.2006 18:23 3.116 MKDEMSG.LOG
09.02.2006 18:21 3.038 tm.ini
09.02.2006 18:18 3.072 MKDEWE.TRN
08.02.2006 19:43 35 tdf.dii
04.02.2006 17:55 227 system.ini
29.01.2006 10:46 202 NeroDigital.ini
24.01.2006 16:25 32 ASYM.INI
24.01.2006 16:07 427 WININIT.INI
24.01.2006 16:07 168 TMPCPYIS.BAT
24.01.2006 16:07 122 TMPDELIS.BAT
24.01.2006 16:07 26 WINSTART.BAT
11.01.2006 09:39 10.129 KB908519.log
08.01.2006 10:36 11.036 KB912919.log
13.12.2005 21:00 18.864 KB905915.log
13.12.2005 21:00 7.251 KB910437.log
10.12.2005 12:23 959 orun32.ini
02.12.2005 14:15 806 avmenum32.log
02.12.2005 11:06 36.234 avmw2k.log
01.12.2005 19:44 86.451 pfirewall.log
01.12.2005 19:40 2.827 KB885884.log
30.11.2005 12:04 379 wmsetup10.log
30.11.2005 11:17 1.080 gramit32.cfg
27.11.2005 12:16 518 ODBC.INI
26.11.2005 18:44 24.013 KB901017.log
26.11.2005 18:43 24.449 KB896424.log
26.11.2005 18:43 26.710 KB902400.log
26.11.2005 18:43 17.040 KB896688.log
26.11.2005 18:43 14.182 KB905414.log
26.11.2005 18:43 14.093 KB900725.log
26.11.2005 18:43 12.493 KB905749.log
26.11.2005 14:04 10.889 KB904706.log
25.11.2005 16:21 29.226 hpoins03.dat
25.11.2005 16:16 0 Sti_Trace.log
25.11.2005 16:02 189 VISITEN.INI
25.11.2005 15:43 6.750 Active Setup Log.txt
25.11.2005 15:41 4.335 ODBCINST.INI
25.11.2005 15:32 7.348 Active Setup Log.BAK
25.11.2005 15:13 2.070 OEWABLog.txt
25.11.2005 14:54 4 msoffice.ini
25.11.2005 14:47 333.650 setuplog.txt
25.11.2005 14:43 1.754 sessmgr.setup.log
25.11.2005 14:43 508 DtcInstall.log
25.11.2005 14:41 4.244 regopt.log
25.11.2005 14:39 0 setuperr.log

135 Datei(en) 15.942.078 Bytes
0 Verzeichnis(se), 64.280.072.192 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 907A-CF1E

Verzeichnis von C:\

24.02.2006 13:24 0 sys.txt
24.02.2006 13:24 6.923 system.txt
24.02.2006 13:23 383 systemtemp.txt
24.02.2006 13:23 97.539 system32.txt
24.02.2006 12:50 1.073.270.784 hiberfil.sys
24.02.2006 12:50 1.610.612.736 pagefile.sys
04.02.2006 17:55 211 boot.ini
01.09.2005 17:45 1.784 IPH.PH
30.08.2005 16:21 0 CONFIG.SYS
30.08.2005 16:21 0 IO.SYS
30.08.2005 16:21 0 MSDOS.SYS
30.08.2005 16:21 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
15 Datei(en) 2.684.294.060 Bytes
0 Verzeichnis(se), 64.280.084.480 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 907A-CF1E

Verzeichnis von C:\DOKUME~1\Ulrich\LOKALE~1\Temp

24.02.2006 13:16 460 smurfver.xml
24.02.2006 12:50 32.768 ~DF53BE.tmp
24.02.2006 12:50 32.768 ~DF43B3.tmp
3 Datei(en) 65.996 Bytes
0 Verzeichnis(se), 64.280.100.864 Bytes frei
Sorry für die späte Eingabe.
MfG
schnippi
Seitenanfang Seitenende
24.02.2006, 20:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier reinkopieren,
bitte ;)

2.
RootkitRevealer -->poste ebenfalls das log vom Scan
http://www.sysinternals.com/Utilities/RootkitRevealer.html

3.
Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2006, 13:59
Member

Themenstarter

Beiträge: 16
#9 HKLM\SOFTWARE\Classes\webcal\URL Protocol 25.11.2005 14:38 13 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Ulrich\Desktop\Rootkit Revealer 25.02.2006 13:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Ulrich\Desktop\Rootkit Revealer\RootkitRevealer.zip 25.02.2006 13:18 207.99 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Ulrich\Desktop\Rootkit Revealer\RootkitRevealer.zip:Zone.Identifier 25.02.2006 13:18 26 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Ulrich\Desktop\RootkitRevealer.zip 25.02.2006 13:10 207.99 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Ulrich\Desktop\RootkitRevealer.zip:Zone.Identifier 25.02.2006 13:10 26 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Ulrich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für RootkitRevealer.zip 25.02.2006 13:13 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\spool\PRINTERS\FP00001.SHD 25.02.2006 13:06 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\spool\PRINTERS\FP00001.SPL 25.02.2006 13:06 0 bytes Visible in Windows API, but not in MFT or directory index.

02/25/06 13:11:52 [Info]: BlackLight Engine 1.0.32 initialized
02/25/06 13:11:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/25/06 13:11:52 [Note]: 7019 4
02/25/06 13:11:52 [Note]: 7005 0
02/25/06 13:12:02 [Note]: 7006 0
02/25/06 13:12:02 [Note]: 7011 2784
02/25/06 13:12:02 [Note]: FSRAW library version 1.7.1015
02/25/06 13:12:45 [Note]: 7007 0

10)DPF????
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 907A-CF1E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.01.2004 11:39 3.237 awswax.inf
09.02.2005 15:54 1.271 erma.inf
02.08.2005 15:48 495 LegitCheckControl.inf
26.05.2005 03:19 293 muweb.inf
08.12.2003 12:58 3.759 swflash.inf
26.05.2005 03:19 291 wuweb.inf
6 Datei(en) 9.346 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 9.346 Bytes
0 Verzeichnis(se), 64.269.647.872 Bytes frei
Seitenanfang Seitenende
25.02.2006, 15:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ich finde..nichts....
Beschreibe mir bitte genau, was das Problem ist, was erscheint, wo, wie wann...der genaue Wortlaut.

poste das Log von Winpfind, bitte
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2006, 18:44
Member

Themenstarter

Beiträge: 16
#11 Hallo Sabina,
anbei die Log Datei von winpfind.
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 04.08.2004 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 03.08.2005 09:33:42 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
PECompact2 08.02.2006 06:23:40 4513120 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 08.02.2006 06:23:40 4513120 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 13:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 13:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 04.08.2004 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
25.02.2006 17:47:20 S 2048 C:\WINDOWS\bootstat.dat
25.02.2006 17:47:38 H 35870 C:\WINDOWS\system32\vsconfig.xml
11.01.2006 23:01:10 S 8792 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911564.cat
13.01.2006 13:50:58 S 7898 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911565.cat
04.01.2006 06:39:30 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911927.cat
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
13.01.2006 20:28:40 S 10925 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB913446.cat
25.02.2006 17:47:58 H 1024 C:\WINDOWS\system32\config\default.LOG
25.02.2006 17:47:24 H 1024 C:\WINDOWS\system32\config\SAM.LOG
25.02.2006 17:56:02 H 24576 C:\WINDOWS\system32\config\SECURITY.LOG
25.02.2006 17:55:32 H 1024 C:\WINDOWS\system32\config\software.LOG
25.02.2006 17:56:08 H 1024 C:\WINDOWS\system32\config\system.LOG
16.02.2006 13:52:38 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
23.02.2006 19:43:10 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\22efed6d-a635-4a2b-b0ed-bc06af1ba3ca
23.02.2006 19:43:10 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
19.02.2006 14:18:06 H 8628 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpfmom09.GID
25.02.2006 17:47:24 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 13:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 13:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 13:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 13:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 13:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 13:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 13:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 13:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 13:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 13:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 26.08.2005 17:14:42 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 04.08.2004 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 13:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 04.08.2004 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 13:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 13:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 13:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 13:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 30.09.2004 16:03:44 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 13:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 04.08.2004 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 13:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 13:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 04.08.2004 13:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 04.08.2004 13:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 04.08.2004 13:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 04.08.2004 13:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 04.08.2004 13:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 04.08.2004 13:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 04.08.2004 13:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 04.08.2004 13:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 04.08.2004 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 04.08.2004 13:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 04.08.2004 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 04.08.2004 13:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 04.08.2004 13:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 04.08.2004 13:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 04.08.2004 13:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 04.08.2004 13:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 04.08.2004 13:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 04.08.2004 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 04.08.2004 13:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 04.08.2004 13:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
12.02.2006 16:23:00 1741 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
30.08.2005 16:21:08 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
20.02.2006 18:10:06 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
30.08.2005 17:15:16 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
25.11.2005 16:21:54 757 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
30.08.2005 16:21:08 HS 84 C:\Dokumente und Einstellungen\Ulrich\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
30.08.2005 17:15:16 HS 62 C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\desktop.ini
01.09.2005 16:17:24 41 C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\sversion.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Steganos Safe 7
{00000000-5736-4205-0100-49529abfbdc3} = C:\Programme\Online Systems\SAFE7se.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{D653647D-D607-4df6-A5B8-48D2BA195F7B}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{D653647D-D607-4df6-A5B8-48D2BA195F7B}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Steganos Safe 7
{00000000-5736-4205-0100-49529abfbdc3} = C:\Programme\Online Systems\SAFE7se.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882}
= C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Adobe PDF Reader Link Helper = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D695B6EC-25D9-4244-B604-988AA1DFB8F3}
StarMoney Toolbar = C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{D695B6EC-25D9-4244-B604-988AA1DFB8F3} = StarMoney Toolbar : C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
CHotkey zHotkey.exe
Microsoft Works Update Detection C:\Programme\Microsoft Works\WkDetect.exe
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
gcasServ "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
PrnSys Executable D:\Digital Imaging\HP Print Screen\PrnSys.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\system32\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoCDBurning 0


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
kernel32.dll C:\WINDOWS\system32\mssearchnet.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
Key þ 蘧‡vœZ$ô9Âý
Hint B+S
FileName0 C:\WINDOWS\system32\RSACi.rat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default
Allow_Unknowns 1
PleaseMom 0
Enabled 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default\http://www.rsac.org/ratingsv01.html
v 0
s 4
n 1
l 4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\PICSRules

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\PICSRules\.Default
NumSys 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktopChanges 0
ClassicShell 0
ForceActiveDesktopOn 0
NoActiveDesktop 0
NoSaveSettings 0
NoThemesTab 0
NoViewContextMenu 0
NoLowDiskSpaceChecks 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 25.02.2006 17:57:26

Das Problem ist folgendes:

Beim Aufrufen des IE erscheint manchmal, nicht immer, eine Seite in Englisch mit dem Hinweis 408 HTA Warnung " Privacy Violation in Progress" und dem Hinweis das das Surfverhalten dieser IP Nummer und gewisse Stichwörter aus dem sexuellen Bereich von Fremden erkannt werden können. Dann wird man aufgefordert einen Download für ein Programm durchzuführen, das Abhilfe schaffen kann. Die Seite verschwindet wenn man eine Internetadresse aufruft. Mich erinnert das stark an Spy Axe.
Allerdings hatte ich seit dem Laufenlassen von clean up diese Seite nicht mehr auf dem Schirm. Vielleicht bin ich es ja los.

Gruß Schnippi
Seitenanfang Seitenende
25.02.2006, 20:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 1.
20.02.2006 18:10:06 --> hast du diesem Zeitpunkt Antivirus installiert ?

2.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll

PC neustarten

deinstalliere:
StarMoneyToolbar

-------------------------------------------------------------------------------------------
3.
Lade :smitRem TOOL (Entfernungstool) --> entpacke auf dem Desktop
* Laden: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

----------------------------------------------------------------------------------
4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"NoActiveDesktopChanges"=-
"ClassicShell"=-
"NoSaveSettings"=-
"NoThemesTab"=-
"NoViewContextMenu"=-
"NoLowDiskSpaceChecks"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
6.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

5.
- Oeffne smitRem, Doppelklick: RunThis.bat
- warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
- suche smitfiles.txt und poste die Textdatei in den Thread

6.
HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 11:28
Member

Themenstarter

Beiträge: 16
#13 Hi,
1.ich denke, dass Star Money Toolbar nicht das Problem ist. Da die nervige Seite auch schon auftrat bevor ich Money Toolbar installiert habe.
2. Antivir ist seit langem installiert, wird ständig upgedated.
3. Das smitrem tool werde ich noch ausprobieren.
gruß
schnippi

Hi,
Antivir warnt vor der smitrem Exe als Virenbefallen.
Ich denke wir brechen die Sache hier ab. Ich denke ich bin den lästigen Warner los. falls nicht, melde ich mich wieder. Bis dahin, vielen Dank für die nützliche und geduldige Hilfe.

Schnippi.
Dieser Beitrag wurde am 26.02.2006 um 13:23 Uhr von schnippi editiert.
Seitenanfang Seitenende
26.02.2006, 13:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 der PC ist weiterhin verseucht: da hat sich wahrscheinlich der SpySheriff breitgemacht....

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
Key þ 蘧‡vœZ$ô9Âý
smitRem ist eine exe, also eine ausfuehrbare Datei und Antivirus meckert da gern rum...nicht beachten.
Ansonsten musst du wissen, was du tust...jedenfalls kann man sehen, dass das System verseucht ist... allein an den Registry-Eintraegen.
Nun, du entscheidest.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 20:24
Member

Themenstarter

Beiträge: 16
#15 ok
du hast recht, was man angefangen hat, soll man auch zu Ende bringen.
ich habe die smitrem log file als sheriff.reg auf dem desktop und "alle Dateien" angegeben. Die von dir unter Ziffer 4.angegebene Datei Regedit4 sehe ich nicht. Bitte um Hilfe.Wennich regedit aufrufe zeigt sich folgendes Bild:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoViewContextMenu"=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

Habe ich etwas falsch gemacht?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: