O17 immer wiederkehrend - Problem?

#1 Ja servus!

Ihr habt schon so oft geholfen, hoffentlich diesmal wieder...

Immer wenn ich online gehe und direkt im Anschluss HJT laufen lasse, erscheint im sonst ganz normal aussehenden log dieses:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7138F60-0398-4A12-BDCB-97197ADCEE95}: NameServer = 85.255.114.105 85.255.112.100

IP unbekannt, nach fixen erscheint der Spaß immer wieder neu beim einwählen.

Wie immer wäre ich für einen Tipp sehr dankbar :-)

#2 interot

das ist eine Internetverbindung in die Ukraine, dein PC ist mit dem Wareout verseucht..

Zitat

Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop -> hier posten

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich hab dasselbe Problem, allerdings eine andere IP. Sonst läuft alles genau so ab: nach dem Einwählen ins Internet erscheint dieser eintrag im Log von HJT, fixen hilft nicht...

#4 Jimmeh

dann arbeite die 4 Punkte ab, die oben angefuehrt sind und poste die logs
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ach, ich bin verloren... Falls du dich errinern kannst, hatte ich da dieses CWS.XPlugin. Jetzt kam noch ein Registry-Eitrag dazu (wird auch beim Systemstart gesetzt, löschen hilft nicht) und dieser TCP/IP-Dienst....

Also es ist irgendwo eine Datei oder Ähnliches, das alles setzt. Wir (du und ich ) konnten aber sie nicht finden. Die ganzen Standard hab ich ja alle durch.

Blacklight hat nichts gefunden... (ich hab allerdings die Beiden Einträge und diese IP davor gefixt).

#6 Jimmeh

warum postest du in diesen Thread ??? Und nicht in deinen ?
So wird es ein Chaos fuer mich und dich.
und warum fixt du mit dem HijackThis, ohne es mich sehen zu lassen ??????
Poste das Log vom HijackThis in deinen Thread, dann werde ich benachrichtigt per mail und sehe nach.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ich kann auf meine eigenen Posts nicht antworten.
Ich hab eine kleine Frage: Im Ordner Downloaded Programm Files hab ich 2 mal Java Runtime Environment. Im IE unter Addons steht, dass diese npjpi142_03.dll alles verwaltet. Kann es sein, dass genau diese beiden Sachen die Registry setzen? Im IE steht "nicht verifiziert". Könnte ich einfach die beiden "Java Environments" aus DPF entfernen?

#8

Zitat

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

du kannst Java deinstallieren und neu laden.... warum sie als "nicht verifiziert" bezeichnet werden, kann ich nicht verstehen, denn sie sind von Java-Sun (oder sollten es sein)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sooo, dann wollen wir mal...etwas spät - tut mir leid dafür...

1)

04/28/06 15:55:05 [Info]: BlackLight Engine 1.0.36 initialized
04/28/06 15:55:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/28/06 15:55:18 [Note]: 7019 4
04/28/06 15:55:18 [Note]: 7005 0
04/28/06 15:55:38 [Note]: 7006 0
04/28/06 15:55:38 [Note]: 7011 1468
04/28/06 15:55:39 [Note]: 7026 0
04/28/06 15:55:39 [Note]: 7026 0
04/28/06 15:56:45 [Note]: FSRAW library version 1.7.1015
04/28/06 15:58:53 [Note]: 7007 0

3.1)

Verzeichnis von C:\WINNT\system32

23.04.2006 09:25 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 13:09 137.256 FNTCACHE.DAT
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
18.01.2006 13:05 57.344 avsda.dll
17.01.2006 21:43 494 WebPlayerInstaller.log
16.01.2006 22:53 1.632 d3d8caps.dat
04.01.2006 04:35 68.096 webclnt.dll
03.01.2006 11:28 192 service.log

3.2)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6845-2876

Verzeichnis von C:\DOKUME~1\Nils\LOKALE~1\Temp

3.3)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6845-2876

Verzeichnis von C:\WINNT

28.04.2006 15:20 0 0.log
28.04.2006 15:19 159 wiadebug.log
28.04.2006 15:19 32.560 SchedLgU.Txt
28.04.2006 15:19 2.048 bootstat.dat
28.04.2006 06:35 50 wiaservc.log
28.04.2006 06:34 1.630.958 WindowsUpdate.log
27.04.2006 11:25 110 winamp.ini
26.04.2006 19:22 23.760 msgsocm.log
26.04.2006 19:22 21.155 ocmsn.log
26.04.2006 19:22 100.565 ntdtcsetup.log
26.04.2006 19:22 221.788 tsoc.log
26.04.2006 19:22 80.450 netfxocm.log
26.04.2006 19:22 737.695 iis6.log
26.04.2006 19:22 15.880 medctroc.Log
26.04.2006 19:22 11.064 KB900485.log
26.04.2006 19:22 255.055 ocgen.log
26.04.2006 19:22 1.374 imsins.log
26.04.2006 19:22 222.840 comsetup.log
26.04.2006 19:22 23.117 tabletoc.log
26.04.2006 19:22 489.442 FaxSetup.log
26.04.2006 19:22 155.222 msmqinst.log
19.04.2006 22:01 178.356 ntbtlog.txt
16.04.2006 11:49 49 NeroDigital.ini
15.04.2006 21:38 865 win.ini
15.04.2006 21:38 293 SYSTEM.INI
15.04.2006 21:34 16.206 setupapi.log
13.04.2006 10:25 30.333 spupdsvc.log
13.04.2006 09:54 18.018 KB908531.log
13.04.2006 09:54 1.374 imsins.BAK
13.04.2006 09:53 34.756 updspapi.log
13.04.2006 09:53 17.366 KB911562.log
13.04.2006 09:49 18.933 KB912812.log
13.04.2006 09:46 13.597 KB911565.log
13.04.2006 09:46 78.031 wmsetup.log
13.04.2006 09:43 11.407 KB911567.log
12.04.2006 22:24 160.295 setupact.log
02.04.2006 12:07 1.409 QTFont.for
02.04.2006 12:07 54.156 QTFont.qfn
16.03.2006 19:27 12.862 EPISMG00.SWB
12.03.2006 15:08 10.589 KB911927.log
12.03.2006 15:08 6.705 KB911564.log
12.03.2006 15:05 6.596 KB913446.log
06.02.2006 14:29 918.769 discwriter.log
06.02.2006 14:15 0 OrangeBurn.log
17.01.2006 23:32 1.387 pstudio.ini
13.01.2006 11:34 10.041 KB908519.log
07.01.2006 10:12 10.958 KB912919.log

3.4)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6845-2876

Verzeichnis von C:\

28.04.2006 16:28 0 sys.txt
28.04.2006 16:27 10.935 system.txt
28.04.2006 16:26 132 systemtemp.txt
28.04.2006 16:25 105.281 system32.txt
28.04.2006 15:19 133.750.784 hiberfil.sys
28.04.2006 15:19 201.326.592 pagefile.sys
15.04.2006 21:38 207 boot.ini

4)

Logfile of HijackThis v1.99.1
Scan saved at 16:29:12, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7138F60-0398-4A12-BDCB-97197ADCEE95}: NameServer = 85.255.114.105 85.255.112.100
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

#10 interot

Download FixWareout - poste das log nach dem scan
http://swandog46.geekstogo.com/Fixwareout.exe

poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

poste das Log von Winpfind
http://virus-protect.org/winpfind.html

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Charkov...schön...

Jetzt oute ich mich wieder als Laie...

Beim Silent Runner kommt die Warnmeldung, dass "this script requires Windows Management Control to run"...

Was mach ich denn da?

#12 dann versuche es mit dem
Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ich nehme an Du meinst den Report von fixwareout?

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

+++

Und dann PF:

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 01.09.2000 08:40:14 41118 C:\WINNT\SYSTEM32\dfrg.msc
PEC2 10.08.2005 00:14:00 692736 C:\WINNT\SYSTEM32\DivX.dll
PECompact2 10.08.2005 00:14:00 692736 C:\WINNT\SYSTEM32\DivX.dll
aspack 04.08.2004 09:57:08 733696 C:\WINNT\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINNT\SYSTEM32\rasdlg.dll
winsync 01.09.2000 08:42:26 1309184 C:\WINNT\SYSTEM32\wbdbase.deu
PECompact2 06.04.2006 21:48:38 5143456 C:\WINNT\SYSTEM32\MRT.exe
aspack 06.04.2006 21:48:38 5143456 C:\WINNT\SYSTEM32\MRT.exe

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINNT\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
29.04.2006 14:32:20 S 2048 C:\WINNT\bootstat.dat
02.04.2006 12:07:16 H 54156 C:\WINNT\QTFont.qfn
29.04.2006 14:50:40 H 1024 C:\WINNT\system32\config\SECURITY.LOG
29.04.2006 14:52:32 H 1024 C:\WINNT\system32\config\SOFTWARE.LOG
29.04.2006 14:51:36 H 1024 C:\WINNT\system32\config\DEFAULT.LOG
29.04.2006 14:32:52 H 1024 C:\WINNT\system32\config\SAM.LOG
29.04.2006 14:50:42 H 1024 C:\WINNT\system32\config\system.LOG
13.04.2006 09:51:14 H 1024 C:\WINNT\system32\config\systemprofile\ntuser.dat.LOG
19.04.2006 21:53:16 HS 24 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\Preferred
19.04.2006 21:53:16 HS 388 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\1d681e73-d761-4619-90f2-58a61650364b
11.03.2006 21:10:08 HS 24 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\Preferred
11.03.2006 21:10:08 HS 388 C:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\1d7a6205-335e-4f4c-aa87-f8b28c98b4ca
13.03.2006 17:08:34 S 7898 C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911565.cat
17.03.2006 11:24:30 S 12455 C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911567.cat
30.03.2006 12:03:42 S 22339 C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912812.cat
23.03.2006 08:15:46 S 10925 C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB911562.cat
23.03.2006 01:17:22 S 14054 C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB908531.cat
29.04.2006 14:32:34 H 6 C:\WINNT\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINNT\SYSTEM32\sysdm.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINNT\SYSTEM32\joy.cpl
Sun Microsystems 20.02.2003 16:42:34 229487 C:\WINNT\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 01.09.2000 08:41:22 189440 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINNT\SYSTEM32\mmsys.cpl
Microsoft Corporation 01.09.2000 08:41:52 38400 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 01.09.2000 08:42:18 28160 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 01.09.2000 08:41:42 35840 C:\WINNT\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINNT\SYSTEM32\access.cpl
Apple Computer, Inc. 23.09.2004 18:57:40 323072 C:\WINNT\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINNT\SYSTEM32\desk.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl
WRQ, Inc. 12.10.1999 15:49:48 248832 C:\WINNT\SYSTEM32\iamcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINNT\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINNT\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINNT\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINNT\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINNT\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINNT\SYSTEM32\bthprops.cpl
Microsoft Corporation 01.09.2000 08:41:52 38400 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 01.09.2000 08:41:22 189440 C:\WINNT\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 01.09.2000 08:41:42 35840 C:\WINNT\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 01.09.2000 08:42:18 28160 C:\WINNT\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
03.05.2004 22:38:34 HS 84 C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
11.03.2006 20:23:56 305 C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\addr_file.html
03.05.2004 22:24:46 HS 62 C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
03.05.2004 22:38:34 HS 84 C:\Dokumente und Einstellungen\Nils\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
05.06.2005 12:04:56 1098 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\AdobeDLM.log
05.06.2005 12:04:56 0 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\dm.ini
19.01.2006 23:56:18 26632 C:\Dokumente und Einstellungen\Nils\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
1&1 Internet AG by USt = IEAK
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = ICQ Toolbar : C:\Programme\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
iamServ 2
Eventlog 2
ERSvc 2
BITS 2


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINNT^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk
path C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup C:\WINNT\pss\Adobe Reader - Schnellstart.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE
item Adobe Reader - Schnellstart
path C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup C:\WINNT\pss\Adobe Reader - Schnellstart.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE
item Adobe Reader - Schnellstart

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINNT^Startmenü^Programme^Autostart^Microsoft Office.lnk
path C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINNT\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office10\OSA.EXE -b -l
item Microsoft Office
path C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINNT\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office10\OSA.EXE -b -l
item Microsoft Office

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgnt
hkey HKLM
command "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgnt
hkey HKLM
command "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\D066UUtility
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item D066UUTY
hkey HKLM
command C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item D066UUTY
hkey HKLM
command C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eDonkey2000
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item eDonkey2000
hkey HKLM
command "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item eDonkey2000
hkey HKLM
command "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPSON Stylus C84 Series
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item E_S10IC2
hkey HKLM
command C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item E_S10IC2
hkey HKLM
command C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iamapp
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iamapp
hkey HKLM
command C:\PROGRA~1\Atguard\iamapp.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iamapp
hkey HKLM
command C:\PROGRA~1\Atguard\iamapp.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ICQ Lite
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command C:\Programme\ICQLite\ICQLite.exe -minimize
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command C:\Programme\ICQLite\ICQLite.exe -minimize
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINNT\system32\NeroCheck.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINNT\system32\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synchronization Manager
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item mobsync
hkey HKLM
command %SystemRoot%\system32\mobsync.exe /logon
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item mobsync
hkey HKLM
command %SystemRoot%\system32\mobsync.exe /logon
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnSpyPC
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item UnSpyPC
hkey HKCU
command "C:\Programme\UnSpyPC\UnSpyPC.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item UnSpyPC
hkey HKCU
command "C:\Programme\UnSpyPC\UnSpyPC.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Wise-FTP Scheduler
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WF_Scheduler
hkey HKLM
command C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WF_Scheduler
hkey HKLM
command C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 2
startup 1


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINNT\System32\stobject.dll
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.04.2006 14:58:21

#14 interot

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2FDB21EE-AE4F-D8B4-B896-B87B675B623B}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7138F60-0398-4A12-BDCB-97197ADCEE95}: NameServer = 85.255.114.105 85.255.112.100

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

**
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

**
Start - Ausfuehren - regedit

bearbeiten - suchen - UnSpyPC

loesche alles, was du noch findest.

**
C:\Programme\UnSpyPC --> deinstallieren und alles loeschen

**
boote wieder in den Normal modus , erstelle eine neue Internetverbindung und poste das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Logfile of HijackThis v1.99.1
Scan saved at 10:00:53, on 30.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7138F60-0398-4A12-BDCB-97197ADCEE95}: NameServer = 85.255.114.105 85.255.112.100
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Ich glaub ich formatiere dann mal nächste Woche...

Nur mal interessehalber: Was ist das denn genau?