mssearchnet.exe (evt noch andere)

#1 Hallo Leute,

neu hier. Habe versucht in einem anderen thread mit ähnlicher Problematik zu antworten, aber es hat sich dort nichts getan (kein Formular zum Antworten).
Also mir altem Hasen scheint es auch passiert zu sein, daß ich mir beim Installieren von codecs für den WMP noch zusätzliche Spyware installiert habe. Die Programme sind zwar deinstalliert, aber besagte exe meldet sich permanet.

Hier der Auszug aus dem Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:32:32, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\OfficeScan Client\pccntmon.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EarthView\EarthView.exe
D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
C:\Programme\WinTidy\WinTidy.exe
D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MMDiag.exe
D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Apache Group\Apache\Apache.exe
D:\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programme\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\OfficeScan Client\tmlisten.exe
C:\Programme\OfficeScan Client\ofcdog.exe
C:\Programme\OfficeScan Client\pccntupd.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mssearchnet.exe
D:\USERS\Trumpfheller\DriveLinker\bin\DriveLinker.exe
D:\Downloads\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpFA2A.tmp
O3 - Toolbar: DevelopersDex Toolbar - {E3C7D182-655D-45EE-8896-A8F8C4DA7E94} - C:\WINDOWS\System32\devdexbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TweakUI.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EasySync Pro - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
O4 - HKLM\..\Run: [EasySync Pro] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MimBoot] D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: EarthView.lnk = C:\Programme\EarthView\EarthView.exe
O4 - Startup: MySQL System Tray Monitor.lnk = D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
O4 - Startup: Task Manager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: Trumpfi_NetUse.lnk = D:\USERS\Trumpfheller\net_anpassTrumpfheller.bat
O4 - Startup: WinTidy.lnk = C:\Programme\WinTidy\WinTidy.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &List Stylesheets - C:\WINDOWS\Web\CSS_Stylesheets.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O9 - Extra 'Tools' menuitem: &List Stylesheets - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O14 - IERESET.INF: START_PAGE_URL=http://www
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120680837683
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136560192067
O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://citrix.industriehansa.de/net6helper.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {D1792F99-AA90-4D46-8B73-2CE45DADDD3C} (WAFDownloader Class) - https://www.web-a-file.com/webafiledownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wob.IndustrieHansa.loc
O17 - HKLM\Software\..\Telephony: DomainName = wob.industriehansa.loc
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Apache Web Server - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe
O23 - Service: IBM Nodelock License Server (IBM LUM NDL) - IBM - C:\ifor\WIN\BIN\i4llmd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing)
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan Client\ntrtscan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan Client\tmlisten.exe

**************
PocketKillbox hab ich auch schon auf dem Rechner. Was brauch ich noch?


Habe mittlerweile KillBox ausgeführt. Mit der KillBox und dem Neustart scheint es wieder rein zu sein, außer daß immer noch das Fenster gelegentlich aufpoppt "You computer is infected ..."
Wie krieg ich das denn weg?
Habe ausserdem noch festgestellt, daß in der Registry noch folgender Eintrag zu finden ist:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"wininet.dll"="dfrgsrv.exe"
"nvctrl.exe"="nvctrl.exe"
"kernel32.dll"="C:\\WINDOWS\\system32\\mssearchnet.exe"

Auch nach einem RegClean (oder gibt es für XP etwas anderes?) war der Eintrag noch vorhanden.

Danke für die Hilfe Joerg
__________
Gruß Jörg
http://www.spearhead-home.com

#2 jtrumpfi

ich helfe dir, das zu entfernen, es scheint SpywareQuake oder SpyAxe zu sein

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

hab es dann heute morgen noch hingekriegt, nachdem ich die letzten drei verbliebenen Dateien in system32 (eine der sich ändernden hpFA2A.tmp, stickrep.dll und dfrgsrv.exe) mit Killbox gelöscht habe, Neustart, zur Sicherheit noch spybot SD laufen lassen (hab damit Smitfraud-C immunisiert - SpywareQuake war wohl der Übeltäter), scheint das Ding wieder einwandfrei zu laufen. Hatte mich derweil schon in die verschiedenen threads zu diesem Thema eingelesen und immer wieder erwähnte tools ausprobiert, bis es lief.

TUVM Jörg
__________
Gruß Jörg
http://www.spearhead-home.com

#4 solltest du mit HijackThis fixen

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpFA2A.tmp

und dennoch die 4 logs posten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ok,
hier nochmal die Log von HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 20:19:24, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\OfficeScan Client\tmlisten.exe
C:\Programme\OfficeScan Client\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\OfficeScan Client\pccntmon.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EarthView\EarthView.exe
D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MMDiag.exe
D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinTidy\WinTidy.exe
D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\SNDVOL32.EXE
D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mmjb.exe
D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mm_director.exe
D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MM_TDM~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Archive\System\AntiVirus&Spyware-Tools\HijackThis.exe
C:\WINDOWS\system32\userinit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spearhead-home.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DevelopersDex Toolbar - {E3C7D182-655D-45EE-8896-A8F8C4DA7E94} - C:\WINDOWS\System32\devdexbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TweakUI.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EasySync Pro - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MimBoot] D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: EarthView.lnk = C:\Programme\EarthView\EarthView.exe
O4 - Startup: MySQL System Tray Monitor.lnk = D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
O4 - Startup: Task Manager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: Trumpfi_NetUse.lnk = D:\USERS\Trumpfheller\net_anpassTrumpfheller.bat
O4 - Startup: WinTidy.lnk = C:\Programme\WinTidy\WinTidy.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &List Stylesheets - C:\WINDOWS\Web\CSS_Stylesheets.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O9 - Extra 'Tools' menuitem: &List Stylesheets - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O14 - IERESET.INF: START_PAGE_URL=http://www
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120680837683
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136560192067
O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://citrix.industriehansa.de/net6helper.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {D1792F99-AA90-4D46-8B73-2CE45DADDD3C} (WAFDownloader Class) - https://www.web-a-file.com/webafiledownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wob.IndustrieHansa.loc
O17 - HKLM\Software\..\Telephony: DomainName = wob.industriehansa.loc
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Apache Web Server - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe
O23 - Service: IBM Nodelock License Server (IBM LUM NDL) - IBM - C:\ifor\WIN\BIN\i4llmd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing)
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan Client\ntrtscan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan Client\tmlisten.exe

-jetzt die vier anderen:

Verzeichnis von C:\

30.03.2006 20:22 0 sys.txt
30.03.2006 20:22 14.562 system.txt
30.03.2006 20:22 655 systemtemp.txt
30.03.2006 20:21 108.706 system32.txt
30.03.2006 13:16 752.877.568 pagefile.sys
31.01.2006 16:42 530 Dokumente
25.12.2005 20:05 211 boot.ini
25.12.2005 19:51 47.564 NTDETECT.COM
25.12.2005 19:51 251.184 ntldr
06.12.2004 13:53 0 COMLOG.txt
24.06.2004 16:09 21 tmuninst.ini
07.02.2004 12:09 0 IO.SYS
07.02.2004 12:09 0 CONFIG.SYS
07.02.2004 12:09 0 AUTOEXEC.BAT
07.02.2004 12:09 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin

Verzeichnis von C:\Temp

30.03.2006 20:18 16.384 ~DF96B9.tmp
30.03.2006 13:44 28 ExchangePerflog_8484fa3149a9ba3b66c913b1.dat
30.03.2006 13:40 896 WcesView.log
30.03.2006 13:27 1.015 jusched.log
30.03.2006 13:18 0 JET8A59.tmp
30.03.2006 13:17 16.384 Perflib_Perfdata_e28.dat
30.03.2006 13:17 541 WCESCOMM.LOG
30.03.2006 10:35 16.384 ~DF9605.tmp

Verzeichnis von C:\WINDOWS

30.03.2006 15:25 54.156 QTFont.qfn
30.03.2006 14:23 217 hpbafd.ini
30.03.2006 13:16 3.702 ModemLog_SoftK56 Data Fax CARP.txt
30.03.2006 13:16 1.836.771 WindowsUpdate.log
30.03.2006 13:16 0 0.log
30.03.2006 13:16 2.048 bootstat.dat
30.03.2006 12:51 32.606 SchedLgU.Txt
30.03.2006 11:03 1.044 wsftppro.INI
30.03.2006 02:27 4.429 TMFilter.log
29.03.2006 00:06 12.536 mozver.dat
27.03.2006 15:24 83 webica.ini
27.03.2006 12:22 1.572.918 BGInfo.bmp
27.03.2006 10:33 647.189 setupapi.log
22.03.2006 11:52 1.409 QTFont.for
21.03.2006 12:47 183.835 setupact.log
20.03.2006 14:42 1.146 win.ini
15.03.2006 15:12 24 pccntmon.INI
12.03.2006 21:09 14.859 sess_gp7pqn1nbjnsgk4v5vt6893dj6
12.03.2006 20:00 14.859 sess_2sfdcfsa2mrj13qtpjoush00m0
12.03.2006 19:53 14.859 sess_g2astu6ikk5l656ldlcfnu02l5
09.03.2006 13:18 14.982 sess_h6v4n2mt9b95vjbvpqfs0ecc70
09.03.2006 12:51 15.187 sess_d2b1qh9pasv629f91bckdluav6
09.03.2006 12:41 15.187 sess_769ngd1fqplmq753dhspd241h7
09.03.2006 00:39 15.187 sess_kkptm1mt4lp56i181mp85ik5t7
08.03.2006 13:05 15.200 sess_d9c664u5b6fiqrlmhcuffnplr5
07.03.2006 21:04 15.191 sess_iof5ip8eii8unf3itp04nfv515
07.03.2006 19:38 15.191 sess_1vk0se6bhhjlr06ac7vjp1taj6
07.03.2006 11:49 15.200 sess_682jl1356pr6c1fvvsokl49pq6
07.03.2006 11:45 15.187 sess_9bdic0mvr9iegu4r53a86jjoq5
06.03.2006 19:01 15.200 sess_bkks81e907jdib9m8dji386074
06.03.2006 18:44 15.187 sess_07oghalvti8j5d1rkd1ecc2ag4
06.03.2006 17:50 15.191 sess_jgem1jsu5kl2eq7vj1eohljf54
06.03.2006 15:52 15.187 sess_hm939b1o64rfc4dm0ipmqrjsi6
06.03.2006 14:55 15.186 sess_vs1hr7lcb5pjabdjsn9seid084
06.03.2006 14:33 14.033 sess_arb7660qt67gohgo9c4ehjdrp3
06.03.2006 14:00 14.033 sess_0mg0q302btfpg9m6fjahffupp4
06.03.2006 13:58 14.033 sess_c7vl41kmlf35vvpsss3bu22p90
06.03.2006 13:54 14.033 sess_nlujfpbaj9j6isp8mh9vrbi3p1
06.03.2006 13:53 14.033 sess_kbuja15edhhtlt7tmk0tlir8u3
03.03.2006 19:05 324.346 comsetup.log
03.03.2006 19:05 270.969 iis6.log
03.03.2006 19:05 218.222 ntdtcsetup.log
03.03.2006 19:05 468.040 tsoc.log
03.03.2006 19:05 41.010 tabletoc.log
03.03.2006 19:05 39.769 ocmsn.log
03.03.2006 19:05 2.141 imsins.log
03.03.2006 19:05 157.454 netfxocm.log
03.03.2006 19:05 13.858 medctroc.Log
03.03.2006 19:05 591.140 ocgen.log
03.03.2006 19:05 46.518 msgsocm.log
03.03.2006 19:05 895.566 FaxSetup.log
03.03.2006 19:05 354.272 msmqinst.log
03.03.2006 19:05 5.257 imsins.BAK
03.03.2006 12:16 56.400 Ofcscan.ini
01.03.2006 23:52 6.120 KB912945Uninst.log
01.03.2006 23:52 47.360 updspapi.log
01.03.2006 11:19 1.139 ODBC.INI
01.03.2006 11:06 7.158 KB908521.log
01.03.2006 01:33 15.933 KB904942.log
01.03.2006 01:33 17.923 KB912945.log
01.03.2006 01:21 7.425 WGA.log
22.02.2006 00:13 58.932 KB893803v2.log
22.02.2006 00:11 28.829 MSI30-KB884016.log
19.02.2006 02:34 32.779 spupdsvc.log
19.02.2006 02:31 6.837 KB913446.log
19.02.2006 02:29 7.903 KB911564.log
19.02.2006 02:29 218.972 wmsetup.log
19.02.2006 02:29 10.973 KB911927.log
19.02.2006 02:28 7.620 KB911565.log
16.02.2006 13:04 9.190 my.ini
14.02.2006 21:04 50 wiaservc.log
14.02.2006 21:04 430 wiadebug.log
14.02.2006 12:11 3.930 OEWABLog.txt
02.02.2006 14:21 3.187 cfgall.ini
19.01.2006 11:32 69.632 EarthView.scr
18.01.2006 00:41 10.057 KB908519.log
06.01.2006 15:41 11.675 KB912919.log
03.01.2006 12:14 0 vpd.properties

Verzeichnis von C:\WINDOWS\system32

30.03.2006 00:38 1.057.280 kernel32.dll
28.03.2006 01:11 2.206 wpa.dbl
27.03.2006 10:36 664 d3d9caps.dat
26.03.2006 22:34 491.682 perfh009.dat
26.03.2006 22:34 96.918 perfc009.dat
26.03.2006 22:34 519.548 perfh007.dat
26.03.2006 22:34 112.198 perfc007.dat
26.03.2006 22:34 1.237.288 PerfStringBackup.INI
22.03.2006 11:34 9.701 qtplugin.log
09.03.2006 17:21 4.799.320 MRT.exe
03.03.2006 13:25 22 tmsock.tmp.tag
01.03.2006 11:55 138.056 FNTCACHE.DAT
17.02.2006 12:23 6.851 DWRCSAccess.log
14.02.2006 10:20 550.120 LegitCheckControl.dll
18.01.2006 01:08 176.167 rmoc3260.dll
18.01.2006 01:08 5.632 pndx5032.dll
18.01.2006 01:08 6.656 pndx5016.dll
18.01.2006 01:08 278.528 pncrt.dll
11.01.2006 18:15 1.069.056 libmySQL.dll
04.01.2006 05:35 68.096 webclnt.dll

Danke übrigens für die viele Hilfe, die hier angeboten wird.
Joerg
__________
Gruß Jörg
http://www.spearhead-home.com

#6 jtrumpfi

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\kernel32.dll

Bericht hier posten...............
__________
MfG Sabina

rund um die PC-Sicherheit

#7 gesagt - getan:

Zitat

This is a report processed by VirusTotal on 03/31/2006 at 10:50:57 (CET) after scanning the file "kernel32.dll" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.31.2006 no virus found
Avast 4.6.695.0 03.29.2006 no virus found
AVG 386 03.30.2006 no virus found
Avira 6.34.0.54 03.31.2006 no virus found
BitDefender 7.2 03.31.2006 no virus found
CAT-QuickHeal 8.00 03.30.2006 no virus found
ClamAV devel-20060202 03.30.2006 no virus found
DrWeb 4.33 03.31.2006 no virus found
eTrust-InoculateIT 23.71.116 03.31.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 no virus found
Ewido 3.5 03.31.2006 no virus found
Fortinet 2.71.0.0 03.31.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 03.30.2006 no virus found
Kaspersky 4.0.2.24 03.31.2006 no virus found
McAfee 4730 03.30.2006 no virus found
NOD32v2 1.1464 03.31.2006 no virus found
Norman 5.70.10 03.30.2006 no virus found
Panda 9.0.0.4 03.30.2006 no virus found
Sophos 4.04.0 03.31.2006 no virus found
Symantec 8.0 03.31.2006 no virus found
TheHacker 5.9.7.122 03.30.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 03.30.2006 no virus found

__________
Gruß Jörg
http://www.spearhead-home.com

#8 lade die kernel32.dll bitte hoch und schreibe mir, wenn du die Antwort bekommst:

http://sandbox.norman.no/live_4.html
http://siri.urz.free.fr/upload/

die dll ist nicht koscher...............

Zitat

"kernel32.dll"="C:\\WINDOWS\\system32\\mssearchnet.exe"

+
poste bitte das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 http://siri.urz.free.fr/upload/
bei der Adresse krieg ich Folgendes als Ergebnis angezeigt (Fr. kann ich nich). Sieht so aus, als ob die Datei zu groß ist:

Zitat

Erreur taille du fichier incorrecte.
La taille de fichier maximum est de 600 Ko

Vous allez être redirigé, sinon cliquez ici

hier das Sandbox-Ergebnis:

Zitat

Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 29/02-2006

Your message ID (for later reference): 20060331-1055

kernel32.dll : Not detected by sandbox (Signature: NO_VIRUS)

Und hier das Ergebnis von SilentRunners:

Zitat

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"CARPService" = "carpserv.exe" ["Conexant Systems"]
"Tweak UI" = "RUNDLL32.EXE TweakUI.exe" [MS]
"VirtualCloneDrive" = ""C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s" ["Elaborate Bytes AG"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"EasySync Pro - LtNts4" = "C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe" ["Extended Systems Inc."]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"MimBoot" = "D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe" ["Musicmatch, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"EasySync Pro" = "C:\Programme\Gemeinsame Dateien\XCPCMenu.exe" [file not found]
"OfficeScanNT Monitor" = ""C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{601ED020-FB6C-11D3-87D8-0050DA59922B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WsftpBrowserHelper Class"
\InProcServer32\(Default) = "C:\Programme\WS_FTP Pro\wsbho2k0.dll" ["Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{AF4F7471-FCFB-11d0-80B6-0080C838D5F9}" = "OfficeScan NT"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Trend Micro\OfficeScan Client\tmdshell.dll" ["Trend Micro Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}" = "USB Ware"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\stickrep.dll" [file not found]

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup\0\
DisplayName = "admin-lokal"
0\ -> launches: "\\IndustrieHansa.loc\sysvol\IndustrieHansa.loc\Policies\{289ACB8C-218B-4ED5-B203-A7CCD1EBE799}\Machine\Scripts\Startup\adm.bat" [file not found]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\MOVIEM~1\IZArc\IZArcCM.dll" [null data]
OfficeScan NT\(Default) = "{AF4F7471-FCFB-11d0-80B6-0080C838D5F9}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Trend Micro\OfficeScan Client\tmdshell.dll" ["Trend Micro Inc."]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\PROGRA~1\TEXTPA~1\System\shellext.dll" ["Helios Software Solutions"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {HKLM...CLSID} = "RtClkCtxMenu Class"
\InProcServer32\(Default) = "C:\Programme\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 81 Hartwell Ave. Lexington MA"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\MOVIEM~1\IZArc\IZArcCM.dll" [null data]
OfficeScan NT\(Default) = "{AF4F7471-FCFB-11d0-80B6-0080C838D5F9}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Trend Micro\OfficeScan Client\tmdshell.dll" ["Trend Micro Inc."]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {HKLM...CLSID} = "RtClkCtxMenu Class"
\InProcServer32\(Default) = "C:\Programme\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 81 Hartwell Ave. Lexington MA"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\EARTHV~1.SCR" (EarthView.scr) [null data]


Startup items in "admin-jt" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart
"EarthView" -> shortcut to: "C:\Programme\EarthView\EarthView.exe -STARTWITHWIN" [null data]
"MySQL System Tray Monitor" -> shortcut to: "D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe" [empty string]
"Task Manager" -> shortcut to: "C:\WINDOWS\system32\taskmgr.exe" [MS]
"Trumpfi_NetUse" -> shortcut to: "D:\USERS\Trumpfheller\net_anpassTrumpfheller.bat" [null data]
"WinTidy" -> shortcut to: "C:\Programme\WinTidy\WinTidy.exe" ["Ziff Davis Media, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"{3A38BB11-C85F-4E63-8F50-5A8EBE8CE9BA}_INDUSTRIEHANSA_zink" -> launches: "C:\WINDOWS\system32\mobsync.exe /Schedule="{3A38BB11-C85F-4E63-8F50-5A8EBE8CE9BA}_INDUSTRIEHANSA_zink"" [MS]
"{6732402B-6383-4CCC-8070-46818CE8E20A}_INDUSTRIEHANSA_zink" -> launches: "C:\WINDOWS\system32\mobsync.exe /Schedule="{6732402B-6383-4CCC-8070-46818CE8E20A}_INDUSTRIEHANSA_zink"" [MS]
"{7B4C831C-E4AC-4C9D-AC08-80CC55C8D813}_INDUSTRIEHANSA_zink" -> launches: "C:\WINDOWS\system32\mobsync.exe /Schedule="{7B4C831C-E4AC-4C9D-AC08-80CC55C8D813}_INDUSTRIEHANSA_zink"" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E3C7D182-655D-45EE-8896-A8F8C4DA7E94}" = (no title provided)
-> {HKLM...CLSID} = "DevelopersDex Toolbar"
\InProcServer32\(Default) = "C:\WINDOWS\System32\devdexbar.dll" ["Chadhaajay Software Technologies"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
{9FF56D85-DB4F-4267-B669-8D05B0BF9A04}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Web Offer Bar"
\InProcServer32\(Default) = "C:\PROGRA~1\TopText\eapbh.dll" [file not found]
{F7384C48-97B6-45DF-A2FA-1D7762D32F9C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Web Offer Bar"
\InProcServer32\(Default) = "C:\PROGRA~1\TopText\eapbh.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

{FFCD98A0-9E1A-11D5-AA62-E2DCF03FF459}\
"MenuText" = "&List Stylesheets"
"Script" = "C:\WINDOWS\Web\CSS_Stylesheets.html" [null data]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apache Web Server, Apache Web Server, ""C:\Programme\Apache Group\Apache\Apache.exe"" [null data]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
MySQL, MySQL, ""D:\MySQL\MySQL Server 4.1\bin\mysqld-nt" --defaults-file="D:\MySQL\MySQL Server 4.1\my.ini" MySQL" [null data]
OfficeScanNT Echtzeitsuche, ntrtscan, "C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."]
OfficeScanNT Listener, tmlisten, "C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."]
OfficeScanNT Personal Firewall, OfcPfwSvc, "C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" ["Trend Micro Inc."]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

By the way: OfficeScan von Trend Mico hatte bei mir noch den Troyaner TROJ_ZLOB.HS in C:\System Volume Information entdeckt und in das Quaratäne Verzeichnis gestellt.

Jörg
__________
Gruß Jörg
http://www.spearhead-home.com

#10 arbeite bitte Punkt 3 ab [ fixme.reg]
http://virus-protect.org/artikel/spyware/spywarequake.html

dann poste bitte das log von winpfind
http://virus-protect.org/winpfind.html
--------------------------------------

Verzeichnis von C:\WINDOWS\system32
30.03.2006 00:38 1.057.280 kernel32.dll
ist nicht koscher, (die Virenscanner erkennen die dll noch nicht... anscheinend...) aber nicht loeschen...zumal du an einem Firmenrechner sitzt...
Informiere am besten den Administrator vom Problem
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

Zitat

Sabina postete
arbeite bitte Punkt 3 ab

Was verstehst Du unter Punkt 3 abarbeiten? Ich habe in der Registry nach den speziellen Schlüsseln gesucht und wenn gefunden, gelöscht.

Verstehe nicht so ganz, was das [- bei den meisten Reg-Einträgen soll?
Habe übrigens einen Schlüssel unter einem leicht geändertem Schlüsselnamen gefunden:

Zitat

So sollte es aussehen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre\ntVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]

Zitat

Das wurde gefunden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]
@=""

Die Einträge in der zu erstellenden Reg-Datei scheinen fehlerhaft zu sein (siehe rot) oder ist das Absicht?

Habe die kernel32 mit der aus C:\WINDOWS\ServicePackFiles\i386\ verglichen (FileSync - Binärer Vergleich) und keinen Unterschied festgestellt:

C:\WINDOWS\system32\kernel32.dll
1,00 MB (1.057.280 Bytes)
1,01 MB (1.060.864 Bytes)
Donnerstag, 29. August 2002, 14:00:00
Gestern, 30. März 2006, 00:38:18

C:\WINDOWS\ServicePackFiles\i386\kernel32.dll
1,00 MB (1.057.280 Bytes)
1,01 MB (1.060.864 Bytes)
Sonntag, 25. Dezember 2005, 19:30:41 (Datum der SP2 Installation)
Mittwoch, 4. August 2004, 09:57:22

Hier das Ergebnis von WinPFind:

Zitat

»»»»» Windows OS and Versions »»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 19.03.2003 05:05:48 2052096 C:\WINDOWS\SYSTEM32\atl71.pdb
PEC2 29.08.2002 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 12.10.2004 15:34:22 205824 C:\WINDOWS\SYSTEM32\DWRCS.EXE
PECompact2 12.10.2004 15:34:22 205824 C:\WINDOWS\SYSTEM32\DWRCS.EXE
PEC2 12.10.2004 15:34:48 86528 C:\WINDOWS\SYSTEM32\DWRCSET.DLL
PECompact2 12.10.2004 15:34:48 86528 C:\WINDOWS\SYSTEM32\DWRCSET.DLL
PEC2 12.10.2004 15:35:00 44544 C:\WINDOWS\SYSTEM32\DWRCST.EXE
PECompact2 12.10.2004 15:35:00 44544 C:\WINDOWS\SYSTEM32\DWRCST.EXE
PTech 14.02.2006 10:20:14 550120 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PEC2 19.03.2003 07:20:00 10357760 C:\WINDOWS\SYSTEM32\mfc71.pdb
PEC2 19.03.2003 06:28:40 8252416 C:\WINDOWS\SYSTEM32\MFC71d.pdb
PEC2 19.03.2003 07:12:12 10333184 C:\WINDOWS\SYSTEM32\mfc71u.pdb
PEC2 19.03.2003 06:31:58 8293376 C:\WINDOWS\SYSTEM32\mfc71ud.pdb
PECompact2 09.03.2006 17:21:10 4799320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 09.03.2006 17:21:10 4799320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
UPX! 04.09.2001 11:05:32 13107200 C:\WINDOWS\SYSTEM32\oembios.bin
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
31.03.2006 12:56:02 S 2048 C:\WINDOWS\bootstat.dat
31.03.2006 14:04:30 H 54156 C:\WINDOWS\QTFont.qfn
01.03.2006 13:03:56 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme
01.03.2006 13:03:56 RH 0 C:\WINDOWS\assembly\pubpol1.dat
01.03.2006 15:24:58 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1b.dat
01.03.2006 15:25:02 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat
31.03.2006 12:56:02 S 64 C:\WINDOWS\CSC\00000001
21.03.2006 11:06:02 S 64 C:\WINDOWS\CSC\00000002
07.03.2006 01:03:28 S 64 C:\WINDOWS\CSC\csc1.tmp
31.03.2006 12:56:10 S 734 C:\WINDOWS\system32\appmgmt\MACHINE\AppMgmt.ini
14.02.2006 10:20:42 S 7086 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\WGA.cat
31.03.2006 12:59:38 H 1024 C:\WINDOWS\system32\config\default.LOG
31.03.2006 14:47:30 H 1024 C:\WINDOWS\system32\config\SAM.LOG
31.03.2006 12:58:18 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
31.03.2006 16:48:14 H 1024 C:\WINDOWS\system32\config\software.LOG
31.03.2006 16:10:28 H 1024 C:\WINDOWS\system32\config\system.LOG
20.03.2006 14:35:48 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
14.02.2006 11:02:46 S 688 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
01.03.2006 13:01:14 S 558 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\E6024EAC88E6B6165D49FE3C95ADD735
24.03.2006 10:58:16 S 70226 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\F482C95F83F1B59228F1B1E720F2EDF1
14.02.2006 11:02:46 S 94 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
01.03.2006 13:01:14 S 144 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\E6024EAC88E6B6165D49FE3C95ADD735
24.03.2006 10:58:16 S 128 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\F482C95F83F1B59228F1B1E720F2EDF1
14.02.2006 12:04:34 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\5f85d7ff-2e1c-4393-8a2d-b0a4b159f8c8
14.02.2006 12:04:34 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
31.03.2006 09:38:16 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\165d6306-fb68-4e8d-8158-817de9008ef5
31.03.2006 09:38:16 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
31.03.2006 12:56:04 H 6 C:\WINDOWS\Tasks\SA.DAT
31.03.2006 16:00:34 H 404 C:\WINDOWS\Tasks\{3A38BB11-C85F-4E63-8F50-5A8EBE8CE9BA}_INDUSTRIEHANSA_zink.job
31.03.2006 16:00:34 H 404 C:\WINDOWS\Tasks\{6732402B-6383-4CCC-8070-46818CE8E20A}_INDUSTRIEHANSA_zink.job
31.03.2006 09:00:02 H 404 C:\WINDOWS\Tasks\{7B4C831C-E4AC-4C9D-AC08-80CC55C8D813}_INDUSTRIEHANSA_zink.job
31.03.2006 13:43:28 HS 67 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\desktop.ini
31.03.2006 13:43:28 HS 67 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\87YV6X67\desktop.ini
31.03.2006 13:43:28 HS 67 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\8HA38TUV\desktop.ini
31.03.2006 13:43:28 HS 67 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\G9MNWXMJ\desktop.ini
31.03.2006 13:43:28 HS 67 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\SJ8HYJ2F\desktop.ini
31.03.2006 13:43:28 HS 113 C:\WINDOWS\Temp\Verlauf\History.IE5\desktop.ini

Checking for CPL files...
19.08.2003 09:20:04 180224 C:\WINDOWS\SYSTEM32\ac3filter.cpl
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 14:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
AvantGo, Inc. 22.12.2003 09:28:12 69632 C:\WINDOWS\SYSTEM32\mbllnk.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Ahead Software AG 09.10.2002 14:36:14 57344 C:\WINDOWS\SYSTEM32\NeroBurnRights.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 29.08.2002 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 30.09.2004 19:03:48 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 29.08.2002 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 04.08.2004 09:58:22 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
16.02.2006 18:31:14 1746 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
07.02.2004 12:09:46 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
07.02.2004 11:52:52 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
07.02.2004 12:09:46 HS 84 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\desktop.ini
31.03.2006 12:57:46 1531 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\EarthView.lnk
04.03.2006 16:16:36 658 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\MySQL System Tray Monitor.lnk
28.06.2005 09:22:32 652 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\Task Manager.lnk
13.10.2005 10:18:34 803 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\Trumpfi_NetUse.lnk
22.06.2005 19:51:58 617 C:\Dokumente und Einstellungen\admin-jt\Startmenü\Programme\Autostart\WinTidy.lnk

Checking files in %USERPROFILE%\Application Data folder...
25.09.2005 12:29:04 1278 C:\Dokumente und Einstellungen\admin-jt\Anwendungsdaten\AdobeDLM.log
07.02.2004 11:52:52 HS 62 C:\Dokumente und Einstellungen\admin-jt\Anwendungsdaten\desktop.ini
25.09.2005 12:29:04 0 C:\Dokumente und Einstellungen\admin-jt\Anwendungsdaten\dm.ini
24.01.2006 13:07:58 25344 C:\Dokumente und Einstellungen\admin-jt\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Hex Editor
{6B28C27B-8A75-4DB1-A08A-86C8CCEC3AF3} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IZArcCM
{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\PROGRA~1\MOVIEM~1\IZArc\IZArcCM.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\OfficeScan NT
{AF4F7471-FCFB-11d0-80B6-0080C838D5F9} = C:\Programme\Trend Micro\OfficeScan Client\tmdshell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TextPad
{2F25CF20-C569-11D1-B94C-00608CB45480} = C:\PROGRA~1\TEXTPA~1\System\shellext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WS_FTP
{797F3885-5429-11D4-8823-0050DA59922B} = C:\Programme\WS_FTP Pro\wsftpsi.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WS_FTP
{797F3885-5429-11D4-8823-0050DA59922B} = C:\Programme\WS_FTP Pro\wsftpsi.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IZArcCM
{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\PROGRA~1\MOVIEM~1\IZArc\IZArcCM.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\OfficeScan NT
{AF4F7471-FCFB-11d0-80B6-0080C838D5F9} = C:\Programme\Trend Micro\OfficeScan Client\tmdshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{601ED020-FB6C-11D3-87D8-0050DA59922B}
WsftpBrowserHelper Class = C:\Programme\WS_FTP Pro\wsbho2k0.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{E3C7D182-655D-45EE-8896-A8F8C4DA7E94} = DevelopersDex Toolbar : C:\WINDOWS\System32\devdexbar.dll
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}
ButtonText = Mobilen Favoriten erstellen :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}
MenuText = Mobilen Favoriten erstellen... : C:\Programme\Microsoft ActiveSync\inetrepl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459}
MenuText = &List Stylesheets :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD}
Shell Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{9FF56D85-DB4F-4267-B669-8D05B0BF9A04}
Web Offer Bar = C:\PROGRA~1\TopText\eapbh.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{F7384C48-97B6-45DF-A2FA-1D7762D32F9C}
Web Offer Bar = C:\PROGRA~1\TopText\eapbh.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SynTPLpr C:\Programme\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh C:\Programme\Synaptics\SynTP\SynTPEnh.exe
CARPService carpserv.exe
Tweak UI RUNDLL32.EXE TweakUI.exe
VirtualCloneDrive "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
NeroCheck C:\WINDOWS\system32\NeroCheck.exe
EasySync Pro - LtNts4 C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
MimBoot D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
EasySync Pro C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
OfficeScanNT Monitor "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
H/PC Connection Agent "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoCDBurning 0
NoMSAppLogo5ChannelNotify 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID
{17492023-C23A-453E-A040-C7C580BBF700} 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 1
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
disablecad 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32
NoBackButton 0
NoFileMru 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun ‘

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll
UPnPMonitor {e57ce738-33e8-4c51-8354-bb4de9d215d1} = C:\WINDOWS\System32\upnpui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

__________
Gruß Jörg
http://www.spearhead-home.com

#12 Hallo Jörg,

koenntest du mir die Datei (in einem Archiv mit Passwort infected) an virus@protecus.de schicken? Wir wollen nur ausschliessen, das es nicht die orginal Windowsdatei ist.
__________
MfG Ralf
SEO-Spam Hunter

#13

Zitat

raman postete
koenntest du mir die Datei (in einem Archiv mit Passwort infected) an virus@protecus.de schicken?

Ist unterwegs. Antwort bitte an die hier angegebene E-Mail Adresse schicken, da Firmen-Server am Wochenende wahrscheinlich wieder nicht erreichbar ist.
Mit WinZip gepackt und encrypted mit der WinZip 2.0 compatible Methode (was immer das bedeuten mag).
__________
Gruß Jörg
http://www.spearhead-home.com

#14 danke fuer den Hinweis auf die (fehlerhafte) reg-Datei.
Was die kernel32 betrifft, hoffe ich, dass raman Licht ins Dunkel bringt
__________
MfG Sabina

rund um die PC-Sicherheit