Ständige Popups dass mit meiner Registry was nicht stimmt

#1 Hi, ich bekomme fast jede Minute Popups, dass über 55 meiner Einträge in der Registry fehlerhaft sind. Hab mein System aber erst vor 2 Tagen neuinstalliert...
Soll Fixreg32 oder windowsxpcleaner usw runterladen...
Kann mir jemand helfen?


Logfile of HijackThis v1.99.1
Scan saved at 14:08:08, on 02.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\GMX Programme\cFos\cFosDNT.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\TraXEx\TraXEx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
C:\Hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141161369949
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

#2 Levius_1

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die superschnelle Antwort Sabrina.

beim cleanaup ließen sich die prefetch files nicht anklicken...

ansonsten jetzt das Ergebnis vom datfindbat...hab erst vorgestern das System neu installiert, warum sind dann Daten von 1996 darauf zu finden? Hab allerdings nur die letzten 3 Monate gepostet. Vielen Dank nochmal für die Hilfe...

Gruß Andi

Datentr„ger in Laufwerk C: ist Programme
Datentr„gernummer: 4812-2956

Verzeichnis von C:\WINNT\system32

02.03.2006 16:17 35.870 vsconfig.xml
02.03.2006 14:16 103.824 FNTCACHE.DAT
01.03.2006 13:08 278 QuickTime.qtp
28.02.2006 22:08 16.384 Perflib_Perfdata_4f4.dat
28.02.2006 22:03 16.384 Perflib_Perfdata_3b4.dat
28.02.2006 21:19 16.384 Perflib_Perfdata_3ac.dat
28.02.2006 21:07 16.384 Perflib_Perfdata_434.dat
28.02.2006 20:19 4.212 zllictbl.dat
28.02.2006 20:05 2.951 CONFIG.NT
28.02.2006 20:04 16.832 amcompat.tlb
28.02.2006 20:04 23.392 nscompat.tlb
28.02.2006 20:04 300.378 perfh009.dat
28.02.2006 20:04 38.036 perfc009.dat
28.02.2006 20:04 289.156 perfh007.dat
28.02.2006 20:04 46.232 perfc007.dat
28.02.2006 20:04 663.264 PerfStringBackup.INI
28.02.2006 20:03 21.817 folder.htt
28.02.2006 20:03 271 desktop.ini
28.02.2006 20:03 525 mapisvc.inf
28.02.2006 20:03 15.076 emptyregdb.dat
28.02.2006 19:39 321 $winnt$.inf
07.02.2006 21:28 4.513.120 MRT.exe
18.01.2006 13:05 57.344 avsda.dll
30.12.2005 17:15 233.744 GDI32.DLL
24.11.2005 16:54 163.600 t2embed.dll
24.11.2005 16:54 79.632 fontsub.dll
22.11.2005 17:39 2.700.288 MSHTML.DLL
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
23.10.2005 22:18 15.072 spmsg.dll
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
20.10.2005 19:08 988.160 DANIM.DLL
17.10.2005 10:01 1.693.248 NTOSKRNL.EXE
17.10.2005 10:01 1.715.840 NTKRNLPA.EXE
07.10.2005 07:17 1.638.832 WIN32K.SYS



Ups, und jetzt noch doe anderen 3 Logs, hatte ich übersehen...bei dem einen stand wirklich gar nichts drin ...

Gruß Andi

Datentr„ger in Laufwerk C: ist Programme
Datentr„gernummer: 4812-2956

Verzeichnis von C:\DOKUME~1\Andreas1\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist Programme
Datentr„gernummer: 4812-2956

Verzeichnis von C:\WINNT

02.03.2006 16:32 3.389 ModemLog_cFos DSL, Internet, PPPoE.txt
02.03.2006 16:16 721.808 WindowsUpdate.log
02.03.2006 16:14 5.204 SchedLgU.Txt
02.03.2006 16:14 464.610 ShellIconCache
02.03.2006 14:18 2.984 spupdsvc.log
02.03.2006 13:57 115.170 comsetup.log
02.03.2006 13:57 1.410 imsins.log
02.03.2006 13:57 231.827 iis5.log
02.03.2006 13:57 50.751 KB839643-DirectX8.log
02.03.2006 13:57 87.812 ocgen.log
02.03.2006 13:57 6.535 ockodak.log
02.03.2006 13:57 1.410 imsins.BAK
02.03.2006 13:57 61.157 KB893756.log
02.03.2006 13:57 35.428 updspapi.log
02.03.2006 13:57 60.568 KB905414.log
02.03.2006 13:57 16.144 dahotfix.log
02.03.2006 13:57 59.914 KB905749.log
02.03.2006 13:57 59.531 KB901214.log
02.03.2006 13:57 85.828 UpdateRollupPack.log
02.03.2006 13:56 6.330 updcustom.dll.log
02.03.2006 13:54 32.219 KB896358.log
02.03.2006 13:54 32.427 KB908523.log
02.03.2006 13:54 31.499 KB896423.log
02.03.2006 13:54 33.249 KB902400.log
02.03.2006 13:53 13.916 Q828026.log
02.03.2006 13:53 14.193 KB911564.log
02.03.2006 13:53 13.759 KB329115.log
02.03.2006 13:53 21.886 KB901017.log
02.03.2006 13:53 14.399 KB908519.log
02.03.2006 13:53 23.072 KB899587.log
02.03.2006 13:53 21.113 KB896422.log
02.03.2006 13:52 22.685 KB900725.log
02.03.2006 13:52 12.048 KB905915-IE6SP1-20051122.175908.log
02.03.2006 13:52 17.130 KB896424.log
02.03.2006 13:51 16.815 KB912919.log
02.03.2006 13:51 14.830 KB899589.log
02.03.2006 13:51 6.612 KB904706.log
02.03.2006 13:51 14.972 KB890046.log
02.03.2006 13:51 3.365 KB905495-IE6SP1-20050805.184113.log
01.03.2006 14:04 9.192 dasetup.log
01.03.2006 13:13 64.414 CFSETUP.TXT
01.03.2006 13:11 268.870 setupapi.log
01.03.2006 12:46 458 win.ini
01.03.2006 12:09 0 OpPrintServer.INI
01.03.2006 08:43 76 winamp.ini
28.02.2006 23:13 99.970 UninstallFirefox.exe
28.02.2006 23:13 4.613 mozver.dat
28.02.2006 23:03 656 ODBC.INI
28.02.2006 22:41 6.705 KB893803v2.log
28.02.2006 22:41 5.503 KB842773.log
28.02.2006 22:41 113.325 setupact.log
28.02.2006 22:36 1.169 OEWABLog.txt
28.02.2006 22:34 19.280 Active Setup Log.txt
28.02.2006 22:09 3.786 Windows Update.log
28.02.2006 20:59 86.220 Directx.log
28.02.2006 20:45 0 nsreg.dat
28.02.2006 20:33 0 0
28.02.2006 20:21 8.192 REGLOCS.OLD
28.02.2006 20:11 0 Sti_Trace.log
28.02.2006 20:08 203.335 setuplog.txt
28.02.2006 20:05 0 control.ini
28.02.2006 20:04 583 setuperr.log
28.02.2006 20:04 4.073 ODBCINST.INI
28.02.2006 20:03 271 desktop.ini
28.02.2006 20:03 21.817 folder.htt
28.02.2006 20:03 410 COM+.log
28.02.2006 20:02 37 vbaddin.ini
28.02.2006 20:02 36 vb.ini
28.02.2006 19:43 42 ModemDet.txt
28.02.2006 19:43 96 mmdet.log
28.02.2006 19:40 231 system.ini
17.11.2005 23:12 533.504 opuc.dll
02.08.2005 11:09 58.899 NuNinst.cfg
22.07.2005 12:43 2.973.696 NuNinst.exe




Datentr„ger in Laufwerk C: ist Programme
Datentr„gernummer: 4812-2956

Verzeichnis von C:\

02.03.2006 16:45 0 sys.txt
02.03.2006 16:45 6.469 system.txt
02.03.2006 16:44 131 systemtemp.txt
02.03.2006 16:44 83.228 system32.txt
02.03.2006 16:15 402.653.184 pagefile.sys
01.03.2006 13:10 834 TDSLCheck.txt
28.02.2006 20:05 0 IO.SYS
28.02.2006 20:05 0 AUTOEXEC.BAT
28.02.2006 20:05 0 MSDOS.SYS
28.02.2006 20:05 0 CONFIG.SYS
28.02.2006 19:59 192 boot.ini
11.11.2004 13:00 163.840 arcsetup.exe
11.11.2004 13:00 216.096 ntldr
11.11.2004 13:00 150.528 arcldr.exe
11.11.2004 13:00 34.724 NTDETECT.COM

#4 1.
poste das log von WinPfind
http://virus-protect.org/winpfind.html

2.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#5 So, also zuerst dasr Winpfind-Log:


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PECompact2 07.02.2006 21:28:40 4513120 C:\WINNT\SYSTEM32\MRT.exe
aspack 07.02.2006 21:28:40 4513120 C:\WINNT\SYSTEM32\MRT.exe
Umonitor 03.06.2005 08:44:46 551696 C:\WINNT\SYSTEM32\RASDLG.DLL
winsync 11.11.2004 13:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
28.02.2006 20:04:00 H 271 C:\WINNT\desktop.ini
28.02.2006 20:03:58 H 21817 C:\WINNT\folder.htt
02.03.2006 16:14:30 H 464610 C:\WINNT\ShellIconCache
02.03.2006 16:16:22 S 64 C:\WINNT\CSC\00000001
28.02.2006 22:14:26 S 64 C:\WINNT\CSC\00000002
28.02.2006 22:02:38 S 64 C:\WINNT\CSC\csc1.tmp
28.02.2006 22:36:22 H 65 C:\WINNT\Downloaded Program Files\desktop.ini
28.02.2006 20:04:16 HS 67 C:\WINNT\Fonts\desktop.ini
28.02.2006 22:16:54 H 0 C:\WINNT\inf\oem1.inf
02.03.2006 13:57:26 H 0 C:\WINNT\inf\oem3.inf
28.02.2006 22:36:20 H 65 C:\WINNT\Offline Web Pages\desktop.ini
28.02.2006 20:05:26 H 122880 C:\WINNT\repair\ntuser.dat
28.02.2006 20:04:00 H 271 C:\WINNT\system32\desktop.ini
28.02.2006 20:04:00 H 21817 C:\WINNT\system32\folder.htt
02.03.2006 16:17:24 H 35870 C:\WINNT\system32\vsconfig.xml
28.02.2006 20:19:56 H 4212 C:\WINNT\system32\zllictbl.dat
02.03.2006 16:17:50 H 1024 C:\WINNT\system32\config\default.LOG
02.03.2006 16:32:22 H 1024 C:\WINNT\system32\config\SAM.LOG
02.03.2006 16:33:00 H 1024 C:\WINNT\system32\config\SECURITY.LOG
02.03.2006 17:09:56 H 1024 C:\WINNT\system32\config\software.LOG
28.02.2006 20:38:12 H 1024 C:\WINNT\system32\config\system.LOG
28.02.2006 20:38:10 H 0 C:\WINNT\system32\config\TempKey.LOG
28.02.2006 20:38:12 H 1024 C:\WINNT\system32\config\userdiff.LOG
28.02.2006 20:09:44 HS 336 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\7d6d188a-1495-4741-95e3-9086515d8c06
28.02.2006 20:09:44 HS 24 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\Preferred
02.03.2006 16:16:32 H 6 C:\WINNT\Tasks\SA.DAT
28.02.2006 20:04:00 H 842 C:\WINNT\Web\bullet.gif
28.02.2006 20:04:00 H 90056 C:\WINNT\Web\classic.bmp
28.02.2006 20:04:00 H 634 C:\WINNT\Web\classic.htt
28.02.2006 20:04:00 H 4732 C:\WINNT\Web\controlp.htt
28.02.2006 20:04:00 H 5943 C:\WINNT\Web\default.htt
28.02.2006 20:04:00 H 830 C:\WINNT\Web\deskmovr.htt
28.02.2006 20:04:00 H 9163 C:\WINNT\Web\dialup.htt
28.02.2006 20:04:00 H 2642 C:\WINNT\Web\exclam.gif
28.02.2006 20:04:00 H 31080 C:\WINNT\Web\folder.bmp
28.02.2006 20:04:00 H 3210 C:\WINNT\Web\folder.htt
28.02.2006 20:04:00 H 19396 C:\WINNT\Web\fsresult.htt
28.02.2006 22:36:28 H 11307 C:\WINNT\Web\ftp.htt
28.02.2006 20:04:00 H 56 C:\WINNT\Web\mincold.gif
28.02.2006 20:04:00 H 77 C:\WINNT\Web\minhot.gif
28.02.2006 20:04:00 H 59 C:\WINNT\Web\pluscold.gif
28.02.2006 20:04:00 H 80 C:\WINNT\Web\plushot.gif
28.02.2006 20:04:00 H 31080 C:\WINNT\Web\preview.bmp
28.02.2006 20:04:00 H 11342 C:\WINNT\Web\recycle.htt
28.02.2006 20:04:00 H 3050 C:\WINNT\Web\safemode.htt
28.02.2006 20:04:00 H 6578 C:\WINNT\Web\schedule.htt
28.02.2006 20:04:00 H 28747 C:\WINNT\Web\standard.htt
28.02.2006 20:04:00 H 31080 C:\WINNT\Web\starter.bmp
28.02.2006 20:04:00 H 1031 C:\WINNT\Web\starter.htt
28.02.2006 20:04:00 H 1316 C:\WINNT\Web\webview.css
28.02.2006 20:04:00 H 31564 C:\WINNT\Web\webview.js
28.02.2006 20:04:00 H 8248 C:\WINNT\Web\wvleft.bmp
28.02.2006 20:04:00 H 54 C:\WINNT\Web\wvline.gif
28.02.2006 20:04:00 H 14865 C:\WINNT\Web\wvlogo.gif
28.02.2006 20:04:00 H 12403 C:\WINNT\Web\wvnet.gif

Checking for CPL files...
Microsoft Corporation 11.11.2004 13:00:00 68880 C:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 11.11.2004 13:00:00 304912 C:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 11.11.2004 13:00:00 242448 C:\WINNT\SYSTEM32\desk.cpl
Microsoft Corporation 11.11.2004 13:00:00 32016 C:\WINNT\SYSTEM32\fax.cpl
Microsoft Corporation 11.11.2004 13:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 12.08.2004 14:48:30 109568 C:\WINNT\SYSTEM32\INPUT.CPL
Microsoft Corporation 11.11.2004 13:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 11.11.2004 13:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 07.11.2000 15:16:46 327680 C:\WINNT\SYSTEM32\joy.cpl
Microsoft Corporation 11.11.2004 13:00:00 122640 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 11.11.2004 13:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl
Microsoft Corporation 11.11.2004 13:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl
Microsoft Corporation 11.11.2004 13:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 11.11.2004 13:00:00 41232 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 11.11.2004 13:00:00 92432 C:\WINNT\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 31.07.1999 22:09:24 230400 C:\WINNT\SYSTEM32\QuickTime.cpl
Microsoft Corporation 11.11.2004 13:00:00 83728 C:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 11.11.2004 13:00:00 129296 C:\WINNT\SYSTEM32\sysdm.cpl
Microsoft Corporation 11.11.2004 13:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 11.11.2004 13:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 03.06.2005 08:44:58 66832 C:\WINNT\SYSTEM32\dllcache\msmq.cpl
IBM Corporation 07.10.1999 01:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl
Microsoft Corporation 11.11.2004 13:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 11.11.2004 13:00:00 41232 C:\WINNT\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
28.02.2006 22:50:04 1568 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
28.02.2006 23:02:42 1569 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
01.03.2006 13:01:54 494 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TraXEx 3.0.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
28.02.2006 20:48:52 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TraXExCM
{7020EDF4-B454-4814-9AA4-1D604D3F1417} = C:\Programme\TraXEx\Integration\TraXExCM.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\TraXExCM
{7020EDF4-B454-4814-9AA4-1D604D3F1417} = C:\Programme\TraXEx\Integration\TraXExCM.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= C:\WINNT\system32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\system32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINNT\system32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6C7C0C9A-B51D-4ADB-A74D-C4E33744F866}
ButtonText = IE-Spuren löschen : C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8DA7743F-9274-4BE8-899E-C0FF6ED61B00}
ButtonText = Löschautomat : C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\system32\browseui.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Synchronization Manager mobsync.exe /logon
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
T-DSL SpeedMgr "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
cFosDNT C:\Programme\GMX Programme\cFos\cFosDNT.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
ProfiDialer

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 149


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif
= wzcdlg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 02.03.2006 17:10:46



... der Rootkitrevealer hat nichts gefunden!

Hilft das weiter?

#6 1.

Zitat

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
ProfiDialer

--> dieser Profidialer...was mag das sein ?
Nimm mal bitte ueber Start--> Ausfuehren--> msconfig --> letzter Reiter das Haekchen vor dem Spybot raus und ueberpruefe auch, was du dort vom Profidialer zusehen bekommst.

2.
Ansonsten...ich finde nichts, was die PopUps hervorrufen koennte.
kannst du einen Screenshot von ihnen machen?

3.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

4.
L2mfix (arbeite Option 1 ab)
http://virus-protect.org/l2mfix.html

Zitat

www . windowsxpcleaner .com
www . winxpcleaner .com
www . registrycleanerxp .com
www . regcleanerpro .com

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabrina,

also dass mit der msconfig geht bei Windows 2000 nicht...keine Ahnung was das für ein Profidialer ist...kann man das noch auf einen anderen Weg herausfinden?

...das mit dem hoster hab ich gemacht....

...l2mfix: der link funtioniert (gerade) nicht .... soll ichs woanders runterladen?

...ansonsten gerade keine popups mehr, ich glaub der erste Schritt mit dem cleanup war recht erfolgreich...

Bis jetzt auf jeden Fall vielen Dank für deine Hilfe!

Gruß Andi

#8 meine Seite soll laut Hoster in den naechsten Stunden wieder funktionieren...dann lade l2mfix.

Ich denke jedoch, das Problem lag/liegt im Host,

www . windowsxpcleaner .com
www . winxpcleaner .com
www . registrycleanerxp .com
www . regcleanerpro .com

der ja nun bereinigt ist.

(P.S. die WindowsUpdates wuerden deinem Rechner nicht schaden.... )
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina,

danke nochmals für deine Hilfe...

Die Popups sind jetzt verschwunden und bleiben es hoffentlich auch.

Was meinst du mit Updates? Ich war auf windowsupdate.com und die haben keine wichtigen updates für mein System gemeldet. Nur ein paar optionale Softwareups, die ich jetzt auch installiert habe. Meinst du irgendwelche besonderen Updates?

Danke!

Gruß Andi

#10 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

ProfiDialer

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabrina,

hier das Ergebnis vom regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 05.03.2006 17:07:47 for strings:
; 'profidialer'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-861567501-1563985344-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"ProfiDialer"=""

; End Of The Log...


MFG Andi

#12 Levius_1

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_USERS\S-1-5-21-861567501-1563985344-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"ProfiDialer"=-

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit