Rollstuhl-Icon wegen Spyfalcon?

#1 Hallo! Habe mein Problem schon im Chip.de Forum gepostet, denke aber hier in diesem passenden Forum sind die Spezialisten.
Mein Trojaner oder Wurm hat wohl etwas mit Spyfalcon zu tun, sonst hab ich keine Ahnung, sorry. In der Taskleiste ist ein Rollstuhl zu sehen der blinkt (so ein Schmarrn...) weiter öffnet sich alle 2 Minuten ein kleines Window "Your Computer is infected, und neuerdings auch noch das Windows Security Emblem in der Taskleite.

Hab mich durchs Forum hier gelesen, hier schon mal das Hijack LogFile, HILFEE!

Logfile of HijackThis v1.99.1
Scan saved at 01:20:16, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\opera\Opera.exe
C:\Dokumente und Einstellungen\karacho\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cfxvty.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://proxy10.safersurf.com:7779
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpE85C.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\karacho\Anwendungsdaten\RssBandit\iecontext_su
bscribefeed.htm
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O15 - Trusted Zone: http://www.egostat.com
O15 - Trusted Zone: *.egostat.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp [...] rtutil.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Bet365/FlashAX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp [...] veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8044A9-3510-4FF2-B02B-4
5E1BF1BDDC7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD2B690-32D0-4F73-BFD7-2
B6281950710}: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
---------------------------------------------------------

Habe dann diese Einträge gefixed:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html

O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html

O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\karacho\Anwendungsdaten\RssBandit\iecontext_su


O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)
--------------------------------------------------------------------------

Dann Spybot & Adaware laufen lassen.
Spybot fand noch einen Eintrag, etwas mit Wildtangent...habs "beheben lassen". Neustart. Gleicher Schei... noch immer da:


Winpatrol meldete sich auch mit diesem hier:

Habe auf "Ja" geklickt. Leider ist die Seite nicht "blank" sondern linkt hier hin:
http://www.securityuptodate.com/

Dann kommen zwischendurch von der Kerio Firewall immer solche Meldungen:
"Anwendung startet andere Anwendung" Win Befehlsprozessor, und immer heisst es LDirgendwas. Hab oft auch mal "zulassen" geklickt. Kerio haqt unter "Anwendungen" ne Menge LD´s, siehe hier:





Hier noch das zweite Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:49, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\karacho\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cfxvty.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://proxy10.safersurf.com:7779
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpB640.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O15 - Trusted Zone: http://www.egostat.com
O15 - Trusted Zone: *.egostat.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp [...] rtutil.CAB
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Bet365/FlashAX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp [...] veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8044A9-3510-4FF2-B02B-4
5E1BF1BDDC7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD2B690-32D0-4F73-BFD7-2
B6281950710}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Cleanup hat schon mal über 45000 Dateien gelöscht...

datfindbat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-31F2

Verzeichnis von C:\WINDOWS\SYSTEM32

11.05.2006 18:25 29.204 nvapps.xml
11.05.2006 18:25 7.168 simpole.tlb
11.05.2006 18:25 43.008 hp2B7D.tmp
11.05.2006 18:24 5.032 stdole3.tlb
11.05.2006 18:06 43.008 hpC2E2.tmp
11.05.2006 18:06 32.781 ldBAF3.tmp
11.05.2006 12:59 10.236 atmclk.exe (hierzu meldet sich die kerio FW öfters.
11.05.2006 12:22 66.048 dcomcfg.exe
08.05.2006 12:25 33.792 hp2735.tmp
08.05.2006 12:24 33.792 hpC459.tmp
08.05.2006 08:08 4.286 ot.ico
08.05.2006 08:08 5.368 dxole32.exe
08.05.2006 02:11 176.128 reglogs.dll
08.05.2006 01:58 41.997 regperf.exe
21.04.2006 21:38 1.170 WPA.DBL
01.04.2006 16:08 380.350 PERFH009.DAT
01.04.2006 16:08 391.000 PERFH007.DAT
01.04.2006 16:08 52.764 PERFC009.DAT
01.04.2006 16:08 63.580 PERFC007.DAT
01.04.2006 16:08 897.778 PerfStringBackup.INI
20.03.2006 19:25 4.610 ModemLog_AVM ISDN BTX.txt
20.03.2006 19:25 4.162 ModemLog_AVM ISDN Custom Config.txt
20.03.2006 19:25 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
20.03.2006 19:25 4.620 ModemLog_AVM ISDN FAX (G3).txt
20.03.2006 19:25 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt
20.03.2006 19:25 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt
20.03.2006 19:25 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
20.03.2006 19:25 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
20.03.2006 19:25 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
15.03.2006 20:01 201.736 FNTCACHE.DAT
19.02.2006 17:39 16.832 amcompat.tlb
19.02.2006 17:39 23.392 nscompat.tlb
19.02.2006 17:08 57 peer.ini
26.01.2006 20:36 574.976 DivX.dll

-----------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-31F2

Verzeichnis von C:\DOKUME~1\karacho\LOKALE~1\Temp

11.05.2006 18:25 2 Twain001.Mtx
11.05.2006 18:25 0 TWAIN.LOG
2 Datei(en) 2 Bytes
0 Verzeichnis(se), 31.109.918.720 Bytes frei
----------------------------------------------------------



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-31F2

Verzeichnis von C:\WINDOWS

11.05.2006 18:30 513 DFC.INI
11.05.2006 18:06 0 0.log
11.05.2006 18:06 159 WIADEBUG.LOG
11.05.2006 18:06 50 WIASERVC.LOG
11.05.2006 18:06 2.048 BOOTSTAT.DAT
11.05.2006 14:02 336.012 WindowsUpdate.log
11.05.2006 12:26 32.622 SchedLgU.Txt
10.05.2006 12:38 54.156 QTFont.qfn
08.05.2006 01:59 437.053 wmsetup.log
07.05.2006 13:37 1.235 WIN.INI
17.04.2006 20:50 59 pp.enc
17.04.2006 20:35 1.007.594 setupapi.log
17.04.2006 19:50 796.672 GPInstall.exe
11.04.2006 20:37 373 nsw.log
07.04.2006 19:22 321.341 Directx.log
01.04.2006 18:49 683 avmcoins.log
01.04.2006 18:00 276 game.ini
01.04.2006 16:59 800 avmenum32.log
01.04.2006 16:51 2.069 avmadd321.log
01.04.2006 16:51 1.106 avmadd32.log
01.04.2006 16:48 235 avmadd322.log
01.04.2006 16:48 37.147 avmw2k.log
27.03.2006 16:48 62 wininit.ini
27.03.2006 16:36 110.452 Omega Drivers v3.8.221.log
27.03.2006 16:34 451.072 Radeon Omega Drivers v3.8.221 Uninstall.exe
27.03.2006 16:12 198.522 SETUPACT.LOG
23.03.2006 14:55 9.572 System.ini
20.03.2006 19:25 3.678 ModemLog_Generic SoftK56 Data Fax.txt
08.03.2006 03:31 23.181 Run32A50.mch
08.03.2006 03:31 35 A5W.INI
04.03.2006 20:55 949 orun32.ini
01.03.2006 02:48 29.696 mickey32.dll
01.03.2006 02:48 202.680 Pirhana Advancements.scr
01.03.2006 02:48 154.520 Pirhana Advancements.exe
01.03.2006 02:48 3.085.548 PSXWO3.exe
01.03.2006 02:48 311.384 PSXWO3.scr
01.03.2006 02:48 160.259 Qirex RD.exe
01.03.2006 02:48 202.680 Qirex RD.scr
01.03.2006 02:47 154.990 Icaras.exe
01.03.2006 02:47 202.680 Icaras.scr
01.03.2006 02:46 202.680 Goteki 45.scr
01.03.2006 02:46 153.631 Goteki 45.exe
26.02.2006 19:47 107.134 UninstallFirefox.exe
26.02.2006 19:47 28.179 mozver.dat
26.02.2006 19:12 104.053 SeaMonkeyUninstall.exe
26.02.2006 19:12 104.053 GREUninstall.exe
26.02.2006 19:09 99.024 MozillaUninstall.exe
19.02.2006 17:40 494 wmsetup10.log
19.02.2006 17:39 316.640 WMSysPr9.prx
20.01.2006 01:03 1.409 QTFont.for
13.01.2006 11:40 43.851 cdPlayer.ini
03.01.2006 11:10 2.088.960 TBPanel.exe

------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-31F2

Verzeichnis von C:\

11.05.2006 18:32 0 sys.txt
11.05.2006 18:32 13.444 system.txt
11.05.2006 18:31 342 systemtemp.txt
11.05.2006 18:30 118.188 datfindbat1.txt
11.05.2006 18:30 118.188 system32.txt
11.05.2006 18:06 535.896.064 hiberfil.sys
11.05.2006 18:05 805.306.368 pagefile.sys
17.04.2006 13:36 162.152 EyeCandyLog.txt
18.11.2005 12:21 856 flashplayer.xpt
28.09.2005 11:59 2.496 TDSLCheck.txt
03.09.2005 19:17 8.704 Thumbs.db
06.04.2005 12:55 10 lqlurj.gqe
27.02.2005 15:00 215 BOOT.INI
18.01.2005 20:29 2 Brettspielwelt prop.txt



Sollte ich vielleicht doch die Kiste platt machen?
Was muss ich beachten bei so einer Aktion?
PC hat ein Admin Konto mit Passwort.
Möchte mir natürlich Daten sichern....findet mein Antivir PE Classic denn eventuelle Trojaner zwischen diesen Dateien wenn da welche wären und ich mit dem alten System danach suchen lasse? Denn gemeldet hat sich Antivir bis jetzt nicht trotz Trojaner oder was das ist...

#4 Feister

Info Spyfalcon
http://virus-protect.org/artikel/spyware/spyfalcon.html

-------------------------------------------------
1.
Start-->Ausfuehren --> schreib (kopiere) in das kleine Fenster:

sc stop Network DDE Connections

sc delete Network DDE Connections

------------------------------------------------

sc stop Netbios Helper Service

sc delete Netbios Helper Service


und klicke o.k.
Damit sollte die Dienste erst einmal gelöscht werden.

------------------------

2.
Laden und alles auf dem Desktop entpacken:-

spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

-----------------------------------------------------------
3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

Zitat

C:\WINDOWS\SYSTEM32\nvapps.xml
C:\WINDOWS\SYSTEM32\simpole.tlb
C:\WINDOWS\SYSTEM32\hp2B7D.tmp
C:\WINDOWS\SYSTEM32\stdole3.tlb
C:\WINDOWS\SYSTEM32\hpC2E2.tmp
C:\WINDOWS\SYSTEM32\ldBAF3.tmp
C:\WINDOWS\SYSTEM32\atmclk.exe
C:\WINDOWS\SYSTEM32\dcomcfg.exe
C:\WINDOWS\SYSTEM32\hp2735.tmp
C:\WINDOWS\SYSTEM32\hpC459.tmp
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\dxole32.exe
C:\WINDOWS\SYSTEM32\reglogs.dll
C:\WINDOWS\SYSTEM32\regperf.exe
C:\WINDOWS\mickey32.dll
C:\WINDOWS\Pirhana Advancements.scr
C:\WINDOWS\Pirhana Advancements.exe
C:\WINDOWS\PSXWO3.exe
C:\WINDOWS\PSXWO3.scr
C:\WINDOWS\Qirex RD.exe
C:\WINDOWS\Qirex RD.scr
C:\WINDOWS\Icaras.exe
C:\WINDOWS\Icaras.scr
C:\WINDOWS\Goteki 45.scr
C:\WINDOWS\Goteki 45.exe

PC neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cfxvty.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpB640.tmp

O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll (file missing)

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll (file missing)
O15 - Trusted Zone: http://www.egostat.com
O15 - Trusted Zone: *.egostat.com
O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)

5.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

6.
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

7.
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet.
Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

------
8.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausführen - cleanmgr (reinschreiben)
Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k.
Klick: Temporäre Dateien -> o.k

---------
9.
boote wieder in den Normalmodus

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

10.
superantispyware
http://virus-protect.org/artikel/tools/superantispyware.html

-------------------------------------------------

11.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit