Schwarzer Bildschirmhintergrund mit Warnhinweis?

#1 Hallo,
ich hab XP auf´m Rechner und seit neuestem einen schwarzen Desktophintergrund mit einem Warnhinweis unten rechts:
Your Computer is in Danger!
Windows Security Center has detected spyware/adware infection!
It is strongly recommend to use special antispyware tools to prevent data loss.
Mein Virenscanner findet nichts. AnspyPC auch nicht. Und HiJackThis lad ich mal das Log hierein, kann ich nichts mit anfangen.

Logfile of HijackThis v1.99.1
Scan saved at 12:49:32, on 27.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\TGTSoft\StyleXP\StyleXPService.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
H:\WINDOWS\System32\alg.exe
H:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
C:\Nero 7\InCD\InCDsrv.exe
H:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\Programme\Browser MOUSE\mouse32a.exe
H:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
H:\Programme\T-Online\DSL-Manager\TODslMgr.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
H:\WINDOWS\System32\LXSUPMON.EXE
I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
H:\WINDOWS\System32\ctfmon.exe
H:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
c:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
H:\Programme\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
C:\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
c:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
c:\Programme\sophos antivirus\Sophos Anti-Virus\SavService.exe
c:\Programme\sophos antivirus\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\sophos antivirus\AutoUpdate\ALsvc.exe
c:\Programme\sophos antivirus\AutoUpdate\ALMon.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: (no name) - {F0DF7E74-327B-E3B9-E428-871439DB7208} - MSTCPDLL.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - H:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - H:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] H:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] H:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [T-Online DSL-Manager] "H:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ToADiMon.exe] c:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [KAVPersonal50] c:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [AnyDVD] I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [sysvx] H:\WINDOWS\sysvx_.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKLM\..\Run: [MSConfig] H:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [UnSpyPC] "H:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [InfoCockpit] c:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 802.11g WLan Utility.lnk = H:\Programme\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\sophos antivirus\AutoUpdate\ALMon.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - H:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - H:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O12 - Plugin for .3gp: H:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140629753687
O17 - HKLM\System\CCS\Services\Tcpip\..\{20F5995C-4494-412D-A7A3-F7D4A14BF7FA}: NameServer = 85.255.115.158,85.255.112.220
O23 - Service: Adobe LM Service - Adobe Systems - H:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - H:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Nero 7\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Labs - c:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - H:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\sophos antivirus\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\sophos antivirus\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\sophos antivirus\AutoUpdate\ALsvc.exe
O23 - Service: StyleXPService - Unknown owner - H:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - H:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Könnte mir jemand mal einen Tip geben, wie ich das wieder hinbekomme?
Vielen Dank schon mal im Voraus.

#2 Joerg933

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten, bitte

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{20F5995C-4494-412D-A7A3-F7D4A14BF7FA}: NameServer = 85.255.115.158,85.255.112.220


inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo! Ich bin neu hier und habe fast das gleiche Problem wie Joerg933. Mein Betriebssystem ist Windows XP Home Edition Service Pack 2 (Build 2600), Motherboard ASUS P4P800-VM.

Seit dem Wochenende sind alle Hintergründe schwarz (auf dem Desktop, im Windows Explorer, im Firefox Explorer, Outlook, einfach überall). Ich kann nur die Ikons sehen. Bei rechtem Mausklick öffnen sich nur schwarze Felder. Damit ich überhaupt arbeiten u. dieses Problem lösen kann, habe ich ein zweites Benutzerkonto "Test" eingerichtet. Hier läuft alles sauber!!! Genauso im abgesicherten Modus. Was ist vorher passiert?: Am Wochenende hatte ich mir jede Menge Viren, Trojaner, Spyware etc. pp. eingefangen (u.a. SpySheriff, wmedia32.exe, P2P u. vieles mehr). Und u.a. wollte ich eine Uraltversion von StyleXP entfernen (habe ich inzw. komplett deinstalliert). Hatte dieses Program aber vorher noch geöffnet u. ab da ging der Ärger los. Mittlerweile habe ich alle möglichen Programme (F-Secure Internet Security 2006 (vorher hatte ich AVAST), Spybot, Zone Alarm Firewall, CW-Chreder, SpySubtract, CleanUP) über das System gejagt u. ich glaube inzwischen ist mein Rechner desinfiziert. Dann bin ich der hier beschriebenen Anleitung von Sabina gefolgt. Leider ohne Ergebnis.
F-Secure BlackLight Beta hat nichts gefunden. Danach wie beschrieben den CleanUp gestartet; siehe die Log als Dateianhang. Danach die datFind.bat ausgeführt u. die Log's wie beschrieben kopiert; hier die Log's:
1.Log Verzeichnis von C:\WINDOWS\system32

28.03.2006 20:59 2.154 ssmute.ini
27.03.2006 22:29 50.579 293375.exe
27.03.2006 22:21 1.187.840 winsflt.dll
27.03.2006 22:16 50.579 1626312.exe
27.03.2006 22:04 2.953 CONFIG.NT
26.03.2006 20:02 4.212 zllictbl.dat
26.03.2006 19:51 50.467 5135359.exe
26.03.2006 11:11 21.760 wpa.dbl
26.03.2006 10:07 314.508 perfh009.dat
26.03.2006 10:07 40.836 perfc009.dat
26.03.2006 10:07 320.094 perfh007.dat
26.03.2006 10:07 49.174 perfc007.dat
26.03.2006 10:07 733.074 PerfStringBackup.INI
26.03.2006 01:51 417.448 FNTCACHE.DAT
25.03.2006 16:45 67.440 DCP.EXE
25.03.2006 16:45 104.368 DCOMPERM.DLL
09.03.2006 16:21 4.799.320 MRT.exe
14.02.2006 10:20 550.120 LegitCheckControl.dll
28.01.2006 00:38 503.296 aswBoot.exe
28.01.2006 00:30 90.112 AVASTSS.scr
04.01.2006 05:35 68.096 webclnt.dll
03.01.2006 16:32 80 nt32200ax.dll
01.01.2006 14:31 7.006 jupdate-1.5.0_06-b05.log
29.12.2005 04:54 280.064 gdi32.dll
19.12.2005 20:30 4.730.880 wmp.dll
14.12.2005 10:24 118.784 sirenacm.dll
14.12.2005 03:48 44 msssc.dll
14.12.2005 03:44 21.760 wpa.bak
14.12.2005 03:28 288 $winnt$.inf
14.12.2005 03:24 16.832 amcompat.tlb
14.12.2005 03:24 23.392 nscompat.tlb
14.12.2005 03:23 488 logonui.exe.manifest
14.12.2005 03:23 488 WindowsLogon.manifest
14.12.2005 03:23 749 sapi.cpl.manifest
14.12.2005 03:23 749 wuaucpl.cpl.manifest
14.12.2005 03:23 749 nwc.cpl.manifest
14.12.2005 03:23 749 ncpa.cpl.manifest
14.12.2005 03:23 749 cdplayer.exe.manifest
14.12.2005 03:22 22.880 emptyregdb.dat
01.12.2005 17:57 0 asfiles.txt
01.12.2005 17:53 2.550 Uninstall.ico
01.12.2005 17:53 1.406 Help.ico
01.12.2005 17:53 1.718 Open.ico
01.12.2005 17:53 1.406 AddQuit.ico
01.12.2005 17:53 5.350 IE.ico
01.12.2005 17:53 9.470 Desktop.ico
01.12.2005 17:53 1.718 Quick.ico
01.12.2005 05:31 1.492.480 shdocvw.dll

2.Log Verzeichnis von C:\DOKUME~1\Test\LOKALE~1\Temp

28.03.2006 23:00 378 WcesView.log
28.03.2006 22:57 206 jusched.log
28.03.2006 22:55 16.384 Perflib_Perfdata_544.dat
3 Datei(en) 16.968 Bytes
0 Verzeichnis(se), 8.022.188.032 Bytes frei

3.Log Verzeichnis von C:\WINDOWS

28.03.2006 22:47 0 0.log
28.03.2006 22:47 1.055.748 WindowsUpdate.log
28.03.2006 22:47 159 wiadebug.log
28.03.2006 22:47 50 wiaservc.log
28.03.2006 22:46 2.048 bootstat.dat
28.03.2006 22:45 32.626 SchedLgU.Txt
28.03.2006 20:34 328.618 ntbtlog.txt
28.03.2006 19:29 1.917 imsins.log
28.03.2006 19:29 129.081 ntdtcsetup.log
28.03.2006 19:29 84.879 iis6.log
28.03.2006 19:29 229.687 tsoc.log
28.03.2006 19:29 32.421 ocmsn.log
28.03.2006 19:29 214.090 comsetup.log
28.03.2006 19:29 312.574 ocgen.log
28.03.2006 19:29 29.208 msgsocm.log
28.03.2006 19:29 554.551 FaxSetup.log
28.03.2006 19:28 511.631 setupapi.log
27.03.2006 22:31 3.582 fsiuupd.log
27.03.2006 22:23 8.565.709 FSISU.log
27.03.2006 22:23 3.523.852 FSSFM.log
27.03.2006 22:23 310.562 RunSetup.log
27.03.2006 22:23 162.170 FSPROD.log
27.03.2006 22:23 1.324.805 FSSETUP.log
27.03.2006 22:22 5.789 FSSCINST.log
27.03.2006 22:22 4.202 NEWSINST.LOG
27.03.2006 22:22 21.615 FSASWSIN.log
27.03.2006 22:22 296.076 FSSSINST.log
27.03.2006 22:22 14.441 HELPINST.LOG
27.03.2006 22:22 7.980 FSAVCSIN.LOG
27.03.2006 22:22 20.413 FSPCINST.LOG
27.03.2006 22:22 3.566 fsavunin.log
27.03.2006 22:22 17.757 fsmainst.log
27.03.2006 22:22 5.866 FSSYSUPD.LOG
27.03.2006 22:22 13.600 FSASWINS.LOG
27.03.2006 22:22 9.398 FSGUIINS.LOG
27.03.2006 22:22 17.749 fwesinst.log
27.03.2006 22:22 2.032 fsdginst.log
27.03.2006 22:22 38.074 fstnbins.LOG
27.03.2006 22:22 12.107 fsrif.log
27.03.2006 22:22 11.045 fwinst.log
27.03.2006 22:22 35.858 FSAVINST.LOG
27.03.2006 22:21 2.185 DAASINST.LOG
27.03.2006 22:20 138.418 FSDEPH.log
27.03.2006 22:20 13.312 FSSGSUP.LOG
27.03.2006 22:19 4.712 fsbwinst.log
27.03.2006 22:19 478.012 fssgpex.LOG
27.03.2006 22:19 2.438 FSPRODRM.LOG
27.03.2006 22:18 118.842 bwUnin-6.3.2.123-4476822L.exe
27.03.2006 22:16 1.170 Q-Klez.log
27.03.2006 21:54 502.087.680 MEMORY.DMP
27.03.2006 20:28 1.617 OEWABLog.txt
27.03.2006 20:28 84.682 wmsetup.log
26.03.2006 01:51 1.874 spupdsvc.log
26.03.2006 01:48 1.374 imsins.BAK
26.03.2006 01:48 26.559 KB913446.log
26.03.2006 01:48 25.759 KB911564.log
26.03.2006 01:48 2.434 avmcoins.log
26.03.2006 01:47 25.988 KB911565.log
26.03.2006 01:47 30.702 KB911927.log
26.03.2006 01:46 35.016 updspapi.log
26.03.2006 01:46 33.454 KB912919.log
26.03.2006 01:46 32.757 KB908519.log
26.03.2006 01:46 37.100 KB905915.log
26.03.2006 01:45 39.047 KB904706.log
26.03.2006 01:45 21.721 KB910437.log
26.03.2006 01:45 38.299 KB896424.log
26.03.2006 01:45 42.123 KB900725.log
26.03.2006 01:44 40.496 KB905749.log
26.03.2006 01:44 38.787 KB905414.log
26.03.2006 01:44 42.594 KB901017.log
26.03.2006 01:43 50.257 KB902400.log
26.03.2006 01:43 35.329 KB894391.log
26.03.2006 01:43 37.164 KB896423.log
26.03.2006 01:42 35.857 KB899587.log
26.03.2006 01:42 34.750 KB899591.log
26.03.2006 01:42 35.040 KB893756.log
26.03.2006 01:42 30.503 KB896358.log
26.03.2006 01:41 105.166 KB890859.log
26.03.2006 01:41 26.893 KB901214.log
26.03.2006 01:41 25.105 KB896428.log
26.03.2006 01:40 30.983 KB896422.log
26.03.2006 01:40 27.774 KB890046.log
26.03.2006 01:40 103.458 KB885250.log
26.03.2006 01:40 22.380 KB885835.log
26.03.2006 01:39 102.438 KB887742.log
26.03.2006 01:39 102.183 KB888113.log
26.03.2006 01:39 100.958 KB891781.log
26.03.2006 01:39 101.677 KB887472.log
26.03.2006 01:39 99.563 KB888302.log
26.03.2006 01:38 19.431 KB885836.log
26.03.2006 01:38 11.985 KB886185.log
26.03.2006 01:38 19.462 KB873339.log
26.03.2006 01:38 6.073 KB885884.log
26.03.2006 01:28 10.410 WGA.log
26.03.2006 01:22 57.515 KB893803v2.log
25.03.2006 19:53 0 uniq
25.03.2006 19:48 192 winamp.ini
22.03.2006 20:18 1.409 QTFont.for
22.03.2006 20:18 54.156 QTFont.qfn
05.03.2006 17:09 202 NeroDigital.ini
23.02.2006 19:11 7.680 Thumbs.db
20.02.2006 00:27 316.640 WMSysPr9.prx
19.02.2006 18:27 59.152 zllsputility.exe
06.02.2006 19:56 1.081 win.ini
03.01.2006 17:01 502 ODBC.INI
03.01.2006 16:32 32 ntcheck3232bx.dll
01.01.2006 16:03 3.022 mozver.dat
26.12.2005 22:08 0 nsreg.dat
26.12.2005 22:08 107.132 UninstallFirefox.exe
25.12.2005 23:06 62 soko.ini

4.Log Verzeichnis von C:\

28.03.2006 23:13 0 sys.txt
28.03.2006 23:11 10.223 system.txt
28.03.2006 23:09 403 systemtemp.txt
28.03.2006 23:07 97.915 system32.txt
28.03.2006 22:46 502.059.008 hiberfil.sys
28.03.2006 22:46 754.974.720 pagefile.sys
23.02.2006 16:23 13.030 PDOXUSRS.NET
15.12.2005 00:44 92 ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
14.12.2005 03:19 211 boot.ini
06.06.2005 17:44 17 log.txt
08.10.2004 21:58 0 MSDOS.SYS
08.10.2004 21:58 0 IO.SYS
08.10.2004 21:58 0 AUTOEXEC.BAT
08.10.2004 21:58 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
17 Datei(en) 1.257.459.319 Bytes
0 Verzeichnis(se), 8.021.893.120 Bytes frei
Aber wie gesagt, alles was ich lt. Anleitung von Sabina durchgeführt habe ist nicht auf meinem eigentlichen Benutzerkonto (als Administrator), sondern auf dem zweiten "Test" Benutzerkonto durchgeführt worden (weiß nicht, ob das Ergebnis dadurch ein anderes ist...?).

Da ich hier mitbekommen habe, dass die HiJackThis Log hilfreich ist, lad ich es mal hierein, kann damit auch nichts anfangen.
Logfile of HijackThis v1.99.1
Scan saved at 21:48:48, on 28.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
c:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.intermute.com/spysubtract/report.html?220=736F6D6D65727370
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: woerterbuch.info Toolbar - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - C:\Programme\Englisch Tools\woerterbuch.info\woerte_13000_tb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\Messenger\ICQToolbar\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=040506 Seri*hier nicht!*=DR12WEX-1504397-KTY lang=DE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brennprogramm\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Brennprogramm\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AOLINS~1\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Messenger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Messenger\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143328699953
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Unknown owner - F:\Programme\0190 Warner\w0svc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Ich habe mir auch die anderen ähnlichen Themen durchgelesen, aber da die Themen ja wirklich nur ähnlich sind, möchte ich nun lieber nicht die ganzen anderen Tipps noch durchackern (wer weiß was ich da anstelle ;-)). Also, ehrlich gesagt fällt mir zu dem Thema einfach nichts mehr ein. Aber bevor ich mein Betriebssystem komplett neu aufsetzen muss, hoffe ich auf Eure Hilfe :-).

Schon mal ganz lieben Dank dafür!!! und bis dahin eine geruhsame Nacht :-)
Good Night
PS: Und sorry, falls ich hier nun doch einen doppelten Eintrag fabriziert habe....

#4 toscana

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten->Ergebnisse hier kopieren
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\zllsputility.exe
C:\WINDOWS\ntcheck3232bx.dll
C:\WINDOWS\system32\DCP.EXE
C:\WINDOWS\system32\DCOMPERM.DLL

-------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\WINDOWS\system32\293375.exe
C:\WINDOWS\system32\winsflt.dll
C:\WINDOWS\desktop.html
C:\WINDOWS\system32\1626312.exe
C:\WINDOWS\System32\wmedia32.exe
C:\WINDOWS\system32\5135359.exe
C:\WINDOWS\uniq

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.intermute.com/spysubtract/report.html?220=736F6D6D65727370726F737336
3840686F746D61696C2E6465
&431=&120=3.0&125=30029&160=1230436&170=Unknown&210=Broadband&310=1005
&150=30&155=30&130=t&225=n&215=&430=24bebf73&195=2.71&171=&172=&500=2&501=0&221=24bebf73&223=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [WMedia32] wmedia32.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

dann sehen wir weiter

Zitat

This is a report processed by VirusTotal on 01/28/2006 at 16:31:13 (CET) after scanning the file "wmedia32.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 TR/Spy.Banker.arm
Avast 4.6.695.0 01.27.2006 no virus found
AVG 718 01.27.2006 I-Worm/Locksky
Avira 6.33.0.81 01.27.2006 TR/Spy.Banker.arm
BitDefender 7.2 01.28.2006 Trojan.Banker.Gbot.A
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 Trojan.DownLoader.6480
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 Logger.Banker.arm
Fortinet 2.54.0.0 01.28.2006 W32/Locksky.M-mm
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.28.2006 Trojan-Spy.Win32.Banker.arm
McAfee 4684 01.27.2006 W32/Loosky.gen@MM
NOD32v2 1.1385 01.28.2006 probably unknown NewHeur_PE virus
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 Trj/Banker.BWV
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 W32/Loosky.GEN@MM
UNA 1.83 01.27.2006 I-Worm.Locksky
VBA32 3.10.5 01.28.2006 Trojan-Spy.Win32.Banker.arm

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina! Hier meine Ergebnisse von:

Einzelne Dateien scannen
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\zllsputility.exe
C:\WINDOWS\ntcheck3232bx.dll
C:\WINDOWS\system32\DCP.EXE
C:\WINDOWS\system32\DCOMPERM.DLL

Um es kurz zu machen, bei jeder Datei lautet das Ergebnis: "No Virus found"! Habe sie aber zur Sicherheit kopiert.
Falls doch noch erforderlich, schicke ich sie beim nächsten mal. Hoffe das ist OK!?
-------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
C:\WINDOWS\system32\293375.exe
C:\WINDOWS\system32\winsflt.dll
C:\WINDOWS\desktop.html
C:\WINDOWS\system32\1626312.exe
C:\WINDOWS\System32\wmedia32.exe
C:\WINDOWS\system32\5135359.exe
C:\WINDOWS\uniq

Alle Dateien gefunden und gekillt ;-)
------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
- Datei war nicht drin!!!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
- angehakt u. erledigt

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
- Datei war nicht drin!!!

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
- angehakt u. erledigt

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.intermute.com/spysubtract/report.html?220=736F6D6D65727370726F737336
3840686F746D61696C2E6465
&431=&120=3.0&125=30029&160=1230436&170=Unknown&210=Broadband&310=1005
&150=30&155=30&130=t&225=n&215=&430=24bebf73&195=2.71&171=&172=&500=2&501=0&221=24bebf73&223=1
- Datei war nicht drin!!!

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
- Datei war nicht drin!!!

R3 - Default URLSearchHook is missing
- Datei war nicht drin!!!

O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
- angehakt u. erledigt

PC neustarten = erledigt ;-)
----------------------------------------------------------------------------
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

- erledigt (brauchst du die 3 Backup-Dateien?)
---------------------------------------------------------------
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

- erledigt
------------------------------------------------------------------------
Scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

- Scan bzw. Seite funktioniert nicht!!! Nachdem ich die Nutzerbedingungen/Anweisungen gelesen und auf "Accept" geklickt habe, passierte nix. Auch nach wiederholten Versuchen leider nicht; habe es Heute (30.03.) erneut versucht... wieder nix....schätze Fehler auf der Internetseite, oder mache ich etwas falsch....? ;-(
-------------------------------------------------------------------------
So, und nun weiß ich nicht mehr weiter, denn der Fehler besteht immer noch ;-(
Hoffe du hast noch eine Idee... lieben Dank nochmals für deine Hilfe!
Gruß
toscana

#6 toscana

poste bitte das Log von Winpfind
http://virus-protect.org/winpfind.html
+
das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Guten Abend Sabina!
Der Winpfind funktioniert leider nicht; hat sich aufgehängt. Werd es gleich nochmal probieren. Aber hier das Log vom Silentrunner:
"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CorelDRAW Graphics Suite 11b" = "C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date lang=DE" ["Corel Corporation"]
"WinampAgent" = "C:\Programme\Audio\Winamp\winampa.exe" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"CloneCDTray" = ""C:\Programme\Brennprogramm\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"VirtualCloneDrive" = ""C:\Programme\Brennprogramm\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s" ["Elaborate Bytes AG"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SweetIM" = "C:\Programme\Macrogaming\SweetIM\SweetIM.exe" ["MacroGaming LTD."]
"snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string]
"F-Secure Manager" = ""C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"F-Secure Startup Wizard" = ""C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot" ["F-Secure Corporation"]
"News Service" = ""C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"" ["F-Secure Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\(Default) = "SWEETIE"
-> {HKLM...CLSID} = "SWEETIE Class"
\InProcServer32\(Default) = "C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll" ["Macrogaming"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "MSN Suche Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{33D4EB5C-92F8-477C-8B6C-475D7CA896FB}" = "SmartMp3ShlExt extension"
-> {HKLM...CLSID} = "SmartMp3ShlExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\SMARTM~1\SMARTM~1.DLL" ["Jonatan Dahl, jiiSoft"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Audio\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows-Desktopsuche"
-> {HKLM...CLSID} = "Windows-Desktopsuche"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\EXT\02.05.0001.1119\de-de\msnlExt.dll" [MS]
"{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "MSN Deskbar"
-> {HKLM...CLSID} = "MSN Suche-Deskbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\DB\02.05.0000.1082\de-de\deskbar.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{B7056B8E-4F99-44f8-8CBD-282390FE5428}" = "VirtualCloneDrive"
-> {HKLM...CLSID} = "VirtualCloneDrive Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Brennprogramm\CloneCD\VirtualCloneDrive\ElbyVCDShell.dll" ["Elaborate Bytes AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Messenger\ICQLite\ICQLiteShell.dll" [empty string]
"{133132E8-9684-4A6C-8500-F175246A25E0}" = "DropTarget"
-> {HKLM...CLSID} = "DropTarget"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOM~1\AUDIOM~1\AUDIOM~1.DLL" ["Nostrum Global ( http://www.AudioManage.com )"]
"{721A4080-2F9E-492C-83E4-EDFA89F9EBCB}" = "AMAddToLibrary"
-> {HKLM...CLSID} = "AMAddToLibrary"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOM~1\AUDIOM~1\AUDIOM~1.DLL" ["Nostrum Global ( http://www.AudioManage.com )"]
"{9D0A0F64-9362-4D42-9921-13C3AC6CC4F9}" = "LibProps"
-> {HKLM...CLSID} = "LibProps"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOM~1\AUDIOM~1\AUDIOM~1.DLL" ["Nostrum Global ( http://www.AudioManage.com )"]
"{AAA68BD8-1ED2-443F-8528-B3BF043D5884}" = "Audio"
-> {HKLM...CLSID} = "Audio Library"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOM~1\AUDIOM~1\AUDIOM~1.DLL" ["Nostrum Global ( http://www.AudioManage.com )"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension"
-> {HKLM...CLSID} = "SpySubtract Shell Extension"
\InProcServer32\(Default) = "c:\Program Files\InterMute\SpySubtract\sshook.dll" ["InterMute, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension"
-> {HKLM...CLSID} = "SpySubtract Shell Extension"
\InProcServer32\(Default) = "c:\Program Files\InterMute\SpySubtract\sshook.dll" ["InterMute, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{9D4E3F43-DB97-40D6-BDCB-7C9CFC69E222}\(Default) = "{9D4E3F43-DB97-40D6-BDCB-7C9CFC69E222}"
-> {HKLM...CLSID} = "Softpointer Column Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOS~1\AUDIOS~1\AUDIOS~1.DLL" ["Softpointer Inc"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Messenger\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AMAddToLibrary\(Default) = "{721A4080-2F9E-492C-83E4-EDFA89F9EBCB}"
-> {HKLM...CLSID} = "AMAddToLibrary"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\AUDIOM~1\AUDIOM~1\AUDIOM~1.DLL" ["Nostrum Global ( http://www.AudioManage.com )"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Messenger\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
SmartMp3ShlExt\(Default) = "{33D4EB5C-92F8-477C-8B6C-475D7CA896FB}"
-> {HKLM...CLSID} = "SmartMp3ShlExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Audio\SMARTM~1\SMARTM~1.DLL" ["Jonatan Dahl, jiiSoft"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Default executables:
--------------------
HKCU\Software\Classes\.bat\(Default) = (value not set)

HKCU\Software\Classes\.cmd\(Default) = (value not set)

HKCU\Software\Classes\.com\(Default) = (value not set)

HKCU\Software\Classes\.exe\(Default) = (value not set)

HKCU\Software\Classes\.hta\(Default) = (value not set)

Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Test" & "All Users" startup folders:
------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"F-Secure 2006" -> shortcut to: "C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe -startup" ["F-Secure Internet Security 2005"]
"RAMASST" -> shortcut to: "C:\WINDOWS\system32\RAMASST.exe" ["Matsushita Electric Industrial Co., Ltd."]
"SpySubtract" -> shortcut to: "C:\Program Files\InterMute\SpySubtract\SpySub.exe -autostart" ["InterMute, Inc."]
"Windows-Desktopsuche" -> shortcut to: "C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe /startup" [MS]

Enabled Scheduled Tasks:
------------------------

"Scheduled scanning task" -> launches: "C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt " ["F-Secure Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "MSN Suche Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll" [MS]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}"
-> {HKLM...CLSID} = "SweetIM For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll" ["Macrogaming"]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "MSN Suche Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{7B0B549D-2EB3-4B56-8A29-B112ABECA310}" = (no title provided)
-> {HKLM...CLSID} = "woerterbuch.info Toolbar "
\InProcServer32\(Default) = "C:\Programme\Englisch Tools\woerterbuch.info\woerte_13000_tb.dll" [empty string]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = (no title provided)
-> {HKLM...CLSID} = "MSN Suche Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll" [MS]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\Messenger\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}" = (no title provided)
-> {HKLM...CLSID} = "SweetIM For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll" ["Macrogaming"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{200DB664-75B5-47C0-8B45-A44ACCF73C00}\
"ButtonText" = "Webfilter"
"CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}"
-> {HKLM...CLSID} = "F-Secure Parental Control COM button"
\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F01}\
"MenuText" = "Webfilter"
"CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}"
-> {HKLM...CLSID} = "F-Secure Parental Control COM button"
\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{300DB664-75B5-47C0-8B45-A44ACCF73C00}\
"ButtonText" = "IE-Schutzschild"
"MenuText" = "IE-Schutzschild..."
"CLSIDExtension" = "{0928F506-07E8-470c-979D-147C296D4879}"
-> {HKLM...CLSID} = "F-Secure IE Shield COM button"
\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll" ["F-Secure Corporation"]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\PROGRA~1\AOLINS~1\AIM95\aim.exe" ["America Online, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\Messenger\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}" = (no title provided)
-> {HKLM...CLSID} = "SweetIM For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll" ["Macrogaming"]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
DVD-RAM_Service, DVD-RAM_Service, "C:\WINDOWS\system32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
F-Secure 2006, BackWeb Plug-in - 4476822, "C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE" ["F-Secure Internet Security 2005"]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure HTTP Server, fshttps, ""C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe"" ["F-Secure Corporation"]
F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE"" ["F-Secure Corporation"]
fsbwsys, fsbwsys, ""C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe"" ["F-Secure Corp."]
FSGKHS, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe"" ["F-Secure Corporation"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" [file not found]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 48 seconds, including 14 seconds for message boxes)

Melde mich nachher wieder. Bis dann.
Gruß toscana

... Winpfind hängt sich jedes mal an dieser Stelle auf: C\WINDOWS\MEMORY.DMP
Tja, Windows kann sich nicht erinnern *grins* Und nun? Kannst du was im LOG vom Silentrunner erkennen?
Abendlicher Gruß
toscana

#8 ist der Hintergrund noch schwarz ? mit dem loeschen der desktop.html mueste es eigentlich wieder alles normaly sein

versuche einen Onlinescan mit panda... oder irgendeinem Scanner auf der seite, der funktioniert
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 leider nein. der hintergrund ist immer noch schwarz.
der Onlinescan mit Panda funktioniert nicht. Panda benötigt den IE 5.0 oder geringer!
habe dann mit TrendMicro gescannt. Dieser hat 10 Ad-/Spywares gefunden, die ich gelöscht habe:
http://pt.trendmicro-europe.com/housecall/v6.5/
Ergebnis Online Scan - 060331 01:15Uhr
Adware/Grayware - 10 Infektionen:
ADW_SE.65942
ADW_SE.95522
ADW_SE.95523
ADW_SE.112158
ADW_SE.112159
ADW_SE.123473
ADW_SE.123475
ADW_SE.123477
ADW_SE.123478
ADW_SE.123481

Bin für jede weitere Idee dankbar! Aber falls ich doch mein Benutzerkonto löschen u. neu einrichten muss hab ich da gleich mal ne Frage: wie komme ich an meine pst-Datei u. die Favoriten ran? Ich habe einen Passwortschutz auf dem Benutzerkonto sowie beim Provider u. in Outlook. Kann ich die pst finden u. sichern indem ich im abgesicherten Modus hochfahre?

Wie auch immer, ich hoffe immer noch, dass ich diese Kontoeinstellungen nicht ändern muss...
vorerst gute Nacht!
es grüßt
toscana

#10 es wird eigentlich HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" angezeigt.....

lade bitte den Counterspy
http://virus-protect.org/counterspy.html

* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ja, das stimmt wohl. Aber auch nur zum Teil. als der Ärger begann, hatte ich einen schwarzen Bildschirm und dachte, dass nur das Desktopbild verschwunden war und konnte da auch noch die "grüne Idylle" oder ein anderes Bild auswählen u. speichern. Aber ab da ging / geht nix mehr. Die Taskleiste ist schwarz, der WindowsExplorer u. alles andere auch. Nach wie vor erscheint bei rechtem Mausklick ein schwarzes Fenster. Sprich, ich kann kein einziges Programm öffnen, sehen. Lade mir gerade den Counterspy runter und führe den aus. Melde mich dann wieder. Bis dann. Gruß toscana

Hallo Sabina,
.... der CounterSpy ist durchgelaufen. Ergebnis: CounterSpy has NOT detected any any Spyware on your computer! ... hätt mich auch gewundert, nach den ganzen Scans die ich mittlerweile hab durchlaufen lassen.... ich schätze "sauberer" geht's langsam net mehr ;-). Was meinst du, sollte ich den Tipp von Blackangel-0 - VIELEN DANK DAFÜR!!! - durchführen? Hilft das noch?
Gruß toscana

#12 hallo toscana

bin neu hier und hatte das gleiche problem mit rotem desktop hintergrund und einen banner von raze-spyware der sich nicht löschen lies.
habe es aber dann mit einem freund wieder hin bekommen.
versuche erst mal mit ewido einen scan durchzu führen.
www.ewido.net kostenlose testversion douwnloaden eventuell 2 mal scannen damit alles weg ist.
dann desktop anpassen desktopelemene web dann das häkchen raus.
dann sollte eigentlich dein desktop wieder in ordnunsein.
ps neustart erforderlich!!!!!!!!!!!

fmg Blackangel-0

#13 toscana

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-
"NoViewContextMenu"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

- arbeite smitfraud.fix ab (1.Log im Nomalmodus posten)
http://virus-protect.org/artikel/tools/smitfrautfix.html

- Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

- Die Datei "sheriff.reg" auf dem Desktop doppelklicken. und der Registry beifuegen

- scane mit smitfraud.fix (siehe Anleitung)

- boote wieder in den Normalmodus

- dann berichte....... (poste das Log vom Scan 2)

**
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina!
Hier der Post vom LOG 2
SmitFraudFix v2.26

Rapport fait à 22:34:02,00 le Sa 01.04.2006
Executé à partir de C:\Dokumente und Einstellungen\Test\Desktop\schwarzer Hintergrund\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Test\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

gruß toscana

#15 nun mache alles andere
__________
MfG Sabina

rund um die PC-Sicherheit