explorer.exe hat Fehler verursacht bei MP3-datei

#1 Hallo ihr lieben Leute,
ich hab ein riesen Problem:
Wenn ich einen Ordner auf dem Desktop öffne, und eine darin enthaltene MP3 öffnen will, so bekomme ich die Fehlermeldung: explorer.exe hat einen Fehler verursacht und muss neu gestartet werden...
Die selbe Meldung bekomme ich wenn ich einen Film von CD über den Arbeitsplatz aufrufen möchte.
Außerdem noch zwei weitere Sachen, bei klick auf "Desktop anzeigen" passiert nichts...
Und wenn ich auf den Papierkorb klicke, in dem definitiv gelöschte dateien sind, so werden diese nicht angezeigt.
ICh habe Spybot, adaware, antivir schon rüberlaufen lassen, die haben nichts gefunden und bei der autoauswertung von der hijack-logfile kam auch nichts bei raus. dennoch poste ich diese mal..
Ich bin wirklich ratlos und brauche unbedingt eure hilfe!
Vielen vielen Dank im voraus - Gruß TIM

Logfile of HijackThis v1.99.1
Scan saved at 14:40:16, on 30.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\gearsec.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
E:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
E:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
C:\Programme\WinTV\WinTV2K.EXE
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\installer\HijackThis.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] E:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Rainlendar] E:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = E:\Programme\3M\PSNLite\PsnLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC405FD-77D9-450D-98F0-06D9FE1863F4}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: gearsec - GEAR Software - C:\WINNT\system32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Also ich hab jetzt al Counter Spy drüber laufen lassen..
Hat einiges gebracht, so funktioniert jetzt beispielsweise das "desktop anzeigen" wieder, aber das explorer Problem besteht weiterhin... HILFE!!!!!!!!!!!!!!!!!

#2 Zeitspeicher

poste bitte das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
+
Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 "Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Rainlendar" = "E:\Programme\Rainlendar\Rainlendar.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Generic Host Process" = "C:\WINNT\system32\scvhost.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}" = "E:\Programme\Google\Gmail Notifier\gnotify.exe" ["Google Inc."]
"Nokia Tray Application" = "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" ["Nokia Mobile Phones"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""E:\Programme\Tune Up\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]
INFECTION WARNING! "{076394AD-7FDD-44EF-A075-32C68DBAB99B}" = "******A*******A******Ut" (unwritable string)
-> {HKLM...CLSID} = "GIANT AntiSpyware Service Hook"
\InProcServer32\(Default) = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunExecuteHook.dll" ["Sunbelt Software"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""E:\Programme\Tune Up\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""E:\Programme\Tune Up\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Rainlendar" = "E:\Programme\Rainlendar\Rainlendar.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Generic Host Process" = "C:\WINNT\system32\scvhost.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}" = "E:\Programme\Google\Gmail Notifier\gnotify.exe" ["Google Inc."]
"Nokia Tray Application" = "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" ["Nokia Mobile Phones"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 07.12.2005 20:00:32 48640 C:\WINNT\AKDeInstall.exe
FSG! 29.03.2006 09:55:22 55874 C:\WINNT\country.exe

Checking %System% folder...
PTech 12.07.2005 19:04:22 520456 C:\WINNT\SYSTEM32\LegitCheckControl.dll
PECompact2 04.01.2006 20:46:40 2836320 C:\WINNT\SYSTEM32\MRT.exe
aspack 04.01.2006 20:46:40 2836320 C:\WINNT\SYSTEM32\MRT.exe
Umonitor 19.06.2003 13:05:04 549648 C:\WINNT\SYSTEM32\RASDLG.DLL
winsync 10.12.1999 12:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PEC2 25.03.2005 18:18:48 82148 C:\WINNT\SYSTEM32\drivers\VcommMgr.sys

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts
127.0.0.1 www.qoologic.com
127.0.0.1 www.urllogic.com


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
27.03.2006 08:23:06 H 1372804 C:\WINNT\ShellIconCache
31.01.2006 12:04:00 RHS 227 C:\WINNT\assembly\Desktop.ini
30.03.2006 17:43:18 S 64 C:\WINNT\CSC\00000001
29.03.2006 09:56:52 S 64 C:\WINNT\CSC\00000002
26.03.2006 18:52:30 S 64 C:\WINNT\CSC\csc1.tmp
30.03.2006 17:44:56 H 1024 C:\WINNT\system32\config\default.LOG
30.03.2006 17:43:40 H 1024 C:\WINNT\system32\config\SAM.LOG
30.03.2006 17:43:22 H 1024 C:\WINNT\system32\config\SECURITY.LOG
30.03.2006 21:41:12 H 1024 C:\WINNT\system32\config\software.LOG
30.03.2006 21:00:02 H 278 C:\WINNT\Tasks\8AF47435B5EBECDD.job
30.03.2006 17:43:12 H 6 C:\WINNT\Tasks\SA.DAT
30.03.2006 11:03:16 HS 17774 C:\WINNT\Temp\$_2341233.TMP
30.03.2006 10:57:10 HS 8 C:\WINNT\Temp\$_2341235.TMP

Checking for CPL files...
Microsoft Corporation 10.12.1999 12:00:00 68880 C:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 19.06.2003 13:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 19.06.2003 13:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL
Microsoft Corporation 10.12.1999 12:00:00 32016 C:\WINNT\SYSTEM32\fax.cpl
Microsoft Corporation 10.12.1999 12:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 10:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 10.12.1999 12:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 10.12.1999 12:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 30.10.2001 09:10:00 326144 C:\WINNT\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 14:03:50 49265 C:\WINNT\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 10.12.1999 12:00:00 122640 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 10.12.1999 12:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl
Microsoft Corporation 10.12.1999 12:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl
Nero AG 18.10.2005 16:31:40 81920 C:\WINNT\SYSTEM32\NeroBurnRights.cpl
Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 19.06.2003 13:05:04 41232 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 19.06.2003 13:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl
Microsoft Corporation 19.06.2003 13:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 19.06.2003 13:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL
Microsoft Corporation 10.12.1999 12:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 10.12.1999 12:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 10:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl
IBM Corporation 07.10.1999 02:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl
Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl
Socket Communications Inc. 04.08.2003 08:05:14 R 73728 C:\WINNT\SYSTEM32\drivers\SCBaud.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
29.03.2006 11:07:38 1424 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
24.01.2006 17:51:12 541 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Post-it® Software Notes Lite.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
26.03.2006 19:13:36 217 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
13.02.2006 13:33:30 816 C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Adobe Gamma.lnk

Checking files in %USERPROFILE%\Application Data folder...
29.03.2006 09:31:46 853 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeDLM.log
29.03.2006 09:31:44 0 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dm.ini
22.01.2006 18:57:50 110536 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{B7A389D4-FC6B-4EB8-BACF-609BA112D5A5} =

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido\security suite\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "E:\Programme\Tune Up\sdshelex.dll"
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido\security suite\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "E:\Programme\Tune Up\sdshelex.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882}
= C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
ButtonText = @shdoclc.dll,-866 :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
{00000000-5736-4205-0008-F7ED0776FB27} = :
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
{0228e555-4f9c-4e35-a3ec-b109a192b4c2} E:\Programme\Google\Gmail Notifier\gnotify.exe
Nokia Tray Application C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
Synchronization Manager mobsync.exe /logon
SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
SunServer C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Rainlendar E:\Programme\Rainlendar\Rainlendar.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Generic Host Process C:\WINNT\system32\scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 149
ForceActiveDesktopOn 0
CDRAutoRun 0
NoNetHood

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\SYSTEM32\Userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif
= wzcdlg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 30.03.2006 21:44:19

#4 1.
http://virus-protect.org/findqoologic.html
lade und klicke Find-Qoologic.bat, warte bis der Scan zu ende ist und poste den scanreport

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Find Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

* UPX! C:\WINNT\AKDEIN~1.EXE
* aspack C:\WINNT\System32\MRT.EXE
»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77885ba9

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
Adobe Reader Speed Launch.lnk
Post-it® Software Notes Lite.lnk

User Startup:
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
.
..
Adobe Gamma.lnk

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

Datentr„ger in Laufwerk C: ist sys
Datentr„gernummer: 36BD-9809

Verzeichnis von C:\WINNT\system32

30.03.2006 17:46 16.384 Perflib_Perfdata_370.dat
30.03.2006 12:33 287 spupdw2k.log
30.03.2006 12:33 2.171 spupdsvc.log
29.03.2006 15:11 411.568 FNTCACHE.DAT
29.03.2006 09:55 0 klgcptini.dat
29.03.2006 09:39 16.384 Perflib_Perfdata_728.dat
31.01.2006 12:08 16.384 Perflib_Perfdata_33c.dat
31.01.2006 12:05 369.124 perfh009.dat
31.01.2006 12:05 50.808 perfc009.dat
31.01.2006 12:05 61.656 perfc007.dat
31.01.2006 12:05 363.562 perfh007.dat
31.01.2006 12:05 743.144 PerfStringBackup.INI
17.01.2006 16:23 21.817 folder.htt
17.01.2006 16:23 271 desktop.ini
04.01.2006 20:46 2.836.320 MRT.exe
20.12.2005 18:35 331.158 ckl009.dat

#6 Zeitspeicher

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sorry hatte es erst nicht richtig verstanden... Hier nun die vier textdateien...

1) Verzeichnis von C:\WINNT\system32

30.03.2006 12:33 287 spupdw2k.log
30.03.2006 12:33 2.171 spupdsvc.log
29.03.2006 15:11 411.568 FNTCACHE.DAT
29.03.2006 09:55 0 klgcptini.dat
29.03.2006 09:39 16.384 Perflib_Perfdata_728.dat
31.01.2006 12:08 16.384 Perflib_Perfdata_33c.dat
31.01.2006 12:05 369.124 perfh009.dat
31.01.2006 12:05 50.808 perfc009.dat
31.01.2006 12:05 61.656 perfc007.dat
31.01.2006 12:05 363.562 perfh007.dat
31.01.2006 12:05 743.144 PerfStringBackup.INI
17.01.2006 16:23 271 desktop.ini
17.01.2006 16:23 21.817 folder.htt
04.01.2006 20:46 2.836.320 MRT.exe
20.12.2005 18:35 331.158 ckl009.dat
11.12.2005 15:22 79 buyurl0501.dat
10.12.2005 16:38 16.384 Perflib_Perfdata_53c.dat
08.12.2005 11:06 1.057.560 O2CPlayer.OCX
04.12.2005 15:16 7.006 jupdate-1.5.0_06-b05.log
04.12.2005 12:24 16.384 Perflib_Perfdata_350.dat

2) Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

31.03.2006 09:56 59.964 Adobelm_Cleanup.0001
31.03.2006 09:56 2 Twain001.Mtx
31.03.2006 09:56 0 Twunk002.MTX
31.03.2006 09:56 219 TWAIN.LOG
31.03.2006 09:56 156 Twunk001.MTX
31.03.2006 09:06 416 java_install_reg.log
31.03.2006 08:50 7.240 radarcache-default-1.gif
31.03.2006 08:23 16.384 ~DF12AE.tmp
31.03.2006 08:20 4.096 ~DFC66F.tmp
31.03.2006 08:20 32.768 ~DF71C8.tmp
31.03.2006 08:20 49.152 ~DF564F.tmp
31.03.2006 08:20 32.768 ~DF4192.tmp
31.03.2006 08:20 16.384 ~DFF7B6.tmp
13 Datei(en) 219.549 Bytes
0 Verzeichnis(se), 2.385.477.632 Bytes frei

3) Verzeichnis von C:\WINNT

31.03.2006 10:47 32 HCWBTDLG.INI
31.03.2006 10:41 468 HCWPNP.INI
31.03.2006 09:06 210.583 setupapi.log
31.03.2006 08:18 32.610 SchedLgU.Txt
30.03.2006 17:46 0 setupact.log
30.03.2006 17:46 0 setuperr.log
30.03.2006 12:38 10.137 WINNT32.LOG
30.03.2006 12:31 8.758 svcpack.log
30.03.2006 12:31 344 msmqprop.log
30.03.2006 12:31 388 sptsupd.log
30.03.2006 10:18 290 urctu.dll
29.03.2006 12:58 649 win.ini
29.03.2006 09:55 55.874 country.exe
29.03.2006 09:54 0 uniq
27.03.2006 08:23 1.372.804 ShellIconCache
20.02.2006 11:24 116 NeroDigital.ini
20.02.2006 10:22 70.656 cabarc.exe
19.02.2006 19:55 51 iTouch.ini
19.02.2006 19:48 53 evwnep.dat
18.02.2006 20:23 4.096 d3dx.dat
09.02.2006 18:12 1.099 Directx.log
06.02.2006 11:20 777 KB912919.log
06.02.2006 11:19 6.069 KB835732.log
04.02.2006 00:04 44 videost.dat
03.02.2006 15:58 110.131 wmsetup.log
03.02.2006 15:56 316.640 WMSysPr9.prx
02.02.2006 14:15 7.124 aviscrn4.ini
31.01.2006 12:04 154 DtcInstall.log
25.01.2006 11:01 1.254 ODBC.INI
20.01.2006 11:26 2.138.994 IrfanView_Wallpaper.bmp
17.01.2006 17:42 345 OEWABLog.txt
17.01.2006 17:29 1.409 QTFont.for
17.01.2006 17:29 54.156 QTFont.qfn
17.01.2006 16:23 271 desktop.ini
17.01.2006 16:23 21.817 folder.htt
11.12.2005 17:28 2.785 ModemLog_Bluetooth DUN Modem.txt
11.12.2005 17:28 2.785 ModemLog_Bluetooth Fax Modem.txt
08.12.2005 18:03 326 Clony2.ini
07.12.2005 20:00 48.640 AKDeInstall.exe
07.12.2005 19:49 20 eplan.ini
06.12.2005 17:29 17.414 WindowsUpdate.log
05.12.2005 11:16 0 Sti_Trace.log
04.12.2005 15:17 6.036 mozver.dat

4) Verzeichnis von C:\

31.03.2006 15:51 0 sys.txt
31.03.2006 15:50 6.427 system.txt
31.03.2006 15:50 944 systemtemp.txt
31.03.2006 15:46 95.229 system32.txt
31.03.2006 08:19 603.979.776 pagefile.sys
30.03.2006 17:24 583 hpfr3425.log
30.03.2006 17:22 519 hpfr3420.xml
30.03.2006 12:38 252 boot.ini
29.03.2006 18:03 184.145 hcwclear.txt
17.01.2006 23:47 0 itouch_config_crash_info.txt
17.01.2006 23:46 0 itouch_crash_info.txt
11.12.2005 14:38 98 avone.ini

#8 Zeitspeicher

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten

http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/

C:\WINDOWS\AKDeInstall.exe

Poste hier das Ergebnis

--------------------------------------------------------------------------

Gehe in die Registry
Start->Ausfuehren-> regedit

bearbeiten--> suchen --> scvhost.exe
loesche alles, was du findest. (nicht verwechseln mit: svchost.exe !! )

navegiere zum Schluessel-->

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoNetHood --> schreibe mir, welchen Eintrag du findest (es muesste ein Viereck sein...)

------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

C:\WINNT\system32\klgcptini.dat
C:\WINNT\system32\ckl009.dat
C:\WINNT\system32\buyurl0501.dat
C:\WINNT\country.exe
C:\WINNT\uniq
C:\WINNT\cabarc.exe
C:\WINNT\Temp\$_2341233.TMP
C:\WINNT\Temp\$_2341235.TMP
C:\WINNT\urctu.dll

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.


Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Also das mit den einzelnen dateien scannen verstehe ich nicht... Welche denn?
Regestry hab ich gemacht und scvhost.exe gelöscht.
NoNetHood Typ: RegBinary Wert: 01 00 00 00
Hoster habe ich ausgeführt.
Bei blbeta.exe bekomme ich folgende fehlermeldung:
F-Secure BlackLight was unable to acquire necessary Privileges (SeDebugPrivilege)

Danke schon mal für die Tipps soweit...

#10 die zu ueberpruefende Datei stand dick und fett geschrieben;:
C:\WINDOWS\AKDeInstall.exe

RootkitRevealer -> poste den scanbericht
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Scan von C:\WINDOWS\AKDeInstall.exe

Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
UPX

Somst haben all die Probramme keine VIren gefunden.

RootkitRevealer:

HKLM\S-1-5-21-1645522239-789336058-854245398-500\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 16.11.2005 15:32 87 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Driver1 30.03.2006 12:37 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Service1 30.03.2006 12:37 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Service2 30.03.2006 12:37 5 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0 08.12.2005 17:11 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1 08.12.2005 17:11 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2 08.12.2005 17:11 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0 08.12.2005 17:11 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\h0 08.12.2005 17:11 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 08.12.2005 17:14 0 bytes Hidden from Windows API.

#12 nun gut, scanne bitte mit Panda und poste hier den Scanreport
Ich hoffe, alle Viren "erwischt" zu haben, aber der Virenscanner wird es ueberpruefen....
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ohoh....
Hier die logfile von panda:


Incident Status Location

Adware:adware/cws.searchmeup Not disinfected C:\Dokumente und Einstellungen\Administrator\Favoriten\Gambling
Adware:adware/beginto Not disinfected Windows Registry
Virus:Bck/Haxdoor.IV Disinfected C:\!KillBox\country.exe
Adware:Adware/ILookup Not disinfected C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\B981B89E-C450-49AA-80DB-8A7459\84ACD22F-5A1C-4400-844A-7F6DD2
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Two Wipe Win Iso\License Obj.exe
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Mozilla\Firefox\Profiles\3vgjf07j.default\cookies.txt[]
Virus:W32/Netsky.D.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[your_text.pif]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Notice.txt
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Informations.txt
Virus:W32/Netsky.D.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[your_text.pif]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Notice.txt
Virus:W32/Sober.I.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Informations.txt
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected C:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Spyware:Cookie/Falkag Not disinfected C:\MozillaProfiles\Firefox\cookies.txt[]
Spyware:Cookie/WebtrendsLive Not disinfected C:\MozillaProfiles\Firefox\cookies.txt[dcsm71wy1100000om56eo3por_4k2s]
Spyware:Cookie/Findwhat Not disinfected C:\MozillaProfiles\Firefox\cookies.txt[]
Virus:Trj/Torpig.AV Disinfected C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
Virus:Trj/Torpig.AW Disinfected C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
Virus:Trj/Banker.CKP Disinfected C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
Adware:Adware/CommAd Not disinfected C:\WINNT\QWxmcmVk\kqUAwAp4.vbs
Virus:Trj/PPdoor.EW Disinfected C:\WINNT\system32\attrimer.dll
Virus:W32/Netsky.D.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Notice.txt .exe]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Informations.txt .exe]
Virus:W32/Netsky.D.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Notice.txt .exe]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Informations.txt .exe]
Virus:W32/Netsky.D.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[your_text.pif]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Notice.txt .exe]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Informations.txt .exe]
Virus:W32/Netsky.D.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Notice.txt .exe]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Informations.txt .exe]
Virus:W32/Netsky.D.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[your_text.pif]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Notice.txt .exe]
Virus:W32/Sober.I.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Informations.txt .exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDonkey.com]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDonkey.com]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDonkey.com]
Potentially unwanted tool:Application/Dnet.A Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected D:\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Adware:Adware/Lop Not disinfected E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rem3DC.exe
Adware:Adware/CWS.Aboutblank Not disinfected E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sp.html
Virus:W32/Netsky.D.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\Local Folders\Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[your_text.pif]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Notice.txt
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Junk[Informations.txt
Virus:W32/Netsky.D.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[your_text.pif]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Notice.txt
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Kopie von Inbox[Informations.txt
Virus:W32/Netsky.D.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[your_text.pif]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[arge-rst1676.scr]
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[bwl7458.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Bill.txt
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Notice.txt
Virus:W32/Sober.I.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[system-germete.com]
Virus:W32/Netsky.Z.worm Disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Posteingang[Informations.txt
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[microsoft.product.activation.crack.all.products.office.windows.xp.2003.pro.professional.home.server.enterprise [found via www.fileDo
Potentially unwanted tool:Application/Dnet.A Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[instw32.exe]
Virus:W32/Tibick.A.worm Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\tc5x6ps6.default\Mail\Local Folders\Sent[windows server 2003 crack.exe]
Spyware:Cookie/adultfriendfinder Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Cookies\graupe@adultfriendfinder[1].txt
Spyware:Cookie/Atwola Not disinfected E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Cookies\graupe@atwola[2].txt
Adware:Adware/ILookup Not disinfected E:\Programme\eMule-sivka\Incoming\counterspy keyg*hier nicht*.exe
Adware:Adware/ILookup Not disinfected E:\Programme\eMule-sivka\Incoming\counterspy keyg*hier nicht*.zip[counterspy keyg*hier nicht*.exe]
Virus:Trj/Downloader.IFT Disinfected E:\Programme\eMule-sivka\Incoming\counterspy_keyg*hier nicht*_crack_patch.exe
Adware:Adware/IST.ISTBar Not disinfected E:\Programme\Gemeinsame Dateien\Totem Shared\Update\Distribution.dll.040
Adware:Adware/IST.ISTBar Not disinfected E:\Programme\Gemeinsame Dateien\Totem Shared\Update\Music.dll.018
Spyware:Spyware/Bridge Not disinfected E:\RECYCLER\NPROTECT\00002802.REG
Adware:Adware/SaveNow Not disinfected E:\RECYCLER\NPROTECT\00002837.HTM
Adware:Adware/ClockSync Not disinfected E:\RECYCLER\NPROTECT\00002840.CFG
Spyware:Spyware/Bridge Not disinfected E:\RECYCLER\NPROTECT\00002851.REG
Spyware:Spyware/Bridge Not disinfected E:\RECYCLER\NPROTECT\00002860.REG
Spyware:Spyware/Bridge Not disinfected E:\RECYCLER\NPROTECT\00002866.REG
Spyware:Spyware/Bridge Not disinfected E:\RECYCLER\NPROTECT\00002872.REG
Adware:Adware/SaveNow Not disinfected E:\RECYCLER\NPROTECT\00003317.HTM
Adware:Adware/ClockSync Not disinfected E:\RECYCLER\NPROTECT\00003320.CFG

#14 tzzz das mit "allen Viren erwischt" war ja wohl ein kleiner Aprilscherz von mir..

0
scanne
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

1.
loesche den keyg*hier nicht* und lade sowas nie wieder, wenn du einen sauberen PC haben willst.

E:\Programme\eMule-sivka\Incoming\counterspy keyg*hier nicht*.exe

-------------------
2.
loeschen

E:\Programme\Gemeinsame Dateien\Totem Shared
C:\Dokumente und Einstellungen\Administrator\Favoriten\Gambling
C:\WINNT\QWxmcmVk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Two Wipe Win Iso\License Obj.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Two Wipe Win Iso
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sp.html

-------------------------

3.
loesche alle Mails, die hier aufgefuehrt sind:
E:\Dokumente und Einstellungen\graupe.KILLERGANZ\Anwendungsdaten\Thunderbird\Profiles\qjfezx5x.std\Mail\pop.gmx.net\Inbox

und dann:

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

-------------------------------------------
4.
dann scanne noch mal mit Panda

**
__________
MfG Sabina

rund um die PC-Sicherheit