UnSpyPc - nun hats mich auch erwischt -

#1 Hallo,

habe heute ein Update gemacht und aufeinmal war mein IE-Explorer verändert und ich hatte auf einmal eine Toolbar mit dabei.
Desweiteren brach mein Ad-Adware ab und ich hatte es deinstalliert und beim neuinstallieren bricht das Programm ab. Auch mein IE-Explorer spielt seitdem verrückt.

Ich füge mal meine Hi-JackThis Auswertung bei.
Hi Jack habe ich hier kennengelernt, da einige mehr dieses Problem mit UnSpy haben (hatten), aber es scheint jedesmal woanders zu klemmen.
Ich bin leider kein PC-Spezialist und komme absolut nicht weiter.

Was mir noch aufgefallen ist, dass der Internet-Explorer total spinnt und zwar bei Google z.b. fährt er falsche Seiten an , oder er sagt mir die IEExplorer.exe hat einen Fehler verursacht und der IE schaltet sich nun ab.

Ich bin für jede Hilfe dankbar.

Gruß Michael
-----------------------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 16:21:12, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Brennen_WICHTIG\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{726827D8-2310-49A3-8BE0-CB8F315A6B83}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F390E5A-69FD-4C2D-9A53-4CE8BACCC89D}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 85.255.115.61,85.255.112.97
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

-----------------------------------------------------------



Habe noch was vergessen.

Spybot hatte ich noch installieren können.
Der Scan dauerte fast 3 Stunden und er hatte auch einen infizierten Reg-Schlüssel entdeckt indem auch UnSpyPc vorhanden war., welchen ich dann mit Spybot gekillt habe.
Das Programm UnSpyPc habe ich deinstalliert und den Ordner manuell danach gelöscht.

Gruß Michael

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial -> poste das log
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

ich musste eben alles nochmal machen, da ich nicht eingeloggt war.

In der Hoffnung mich nicht allzu ungeschickt angestellt zu haben, sage ich schon mal vielen DANKE im Vorraus.

--------------------------------------------------------------
Clean up habe ich ausgeführt und es wurden ca. 4000 Dateien gelöscht.

---------------------------------------------------------------

Zu Virus-protect

LOG 1

Datentr„ger in Laufwerk C: ist Windoof-XP
Volumeseriennummer: 808D-F4E9

Verzeichnis von C:\WINDOWS\system32

11.05.2006 19:46 0 nmp.log
11.05.2006 18:39 0 _nvidia_xxx_.log
11.05.2006 09:01 155.648 ixpov.dll
07.05.2006 21:15 2.206 wpa.dbl
20.04.2006 21:47 73 superpad6.lnf
20.04.2006 21:47 35 superpad9.lnf
18.04.2006 17:19 35 superpad8.lnf
26.03.2006 19:29 52.900 perfc009.dat
26.03.2006 19:29 63.784 perfc007.dat
26.03.2006 19:29 391.330 perfh007.dat
26.03.2006 19:29 380.486 perfh009.dat
26.03.2006 19:29 897.954 PerfStringBackup.INI
14.03.2006 13:51 251.880 FNTCACHE.DAT
18.02.2006 18:42 25.017 app_filter_ui.log
23.01.2006 15:36 429 datFind.bat





---------------------------------------------------------------------
LOG 2:

Datentr„ger in Laufwerk C: ist Windoof-XP
Volumeseriennummer: 808D-F4E9

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

11.05.2006 19:35 63.598 WcesView.log
11.05.2006 19:20 23.507 BWInstall.log
11.05.2006 18:40 917.504 MFPL7014.DLL
11.05.2006 18:39 408 WCESCOMM.LOG
11.05.2006 16:37 207.688 java_install_reg.log
11.05.2006 16:12 213 GLG6.tmp
11.05.2006 16:12 34.304 GLK4.tmp
11.05.2006 16:12 164.864 GLC3.tmp
11.05.2006 15:58 16.384 ~DF55B1.tmp
11.05.2006 15:41 213 GLG5.tmp
11.05.2006 15:41 34.304 GLK3.tmp
11.05.2006 15:41 164.864 GLC2.tmp
11.05.2006 13:48 596 hpzcoi01.log
11.05.2006 13:47 596 hpzcoi00.log
11.05.2006 13:16 213 GLGC.tmp
11.05.2006 13:15 34.304 GLKA.tmp
11.05.2006 13:15 164.864 GLC9.tmp
11.05.2006 12:42 124 GLG4.tmp
11.05.2006 12:42 34.304 GLK2.tmp
11.05.2006 12:42 164.864 GLC1.tmp
11.05.2006 09:25 53.248 unwise.exe
11.05.2006 09:01 422 MSIb14dd.LOG
11.05.2006 08:58 422 MSIb14dc.LOG
01.11.2005 05:09 344.064 eauninstall.exe

-----------------------------------------------------------------
LOG 3

Datentr„ger in Laufwerk C: ist Windoof-XP
Volumeseriennummer: 808D-F4E9

Verzeichnis von C:\WINDOWS

11.05.2006 19:20 4.201 fsbwinst.log
11.05.2006 19:18 31 warhead.ini
11.05.2006 19:18 1.636 Q-Klez.log
11.05.2006 18:40 0 0.log
11.05.2006 18:40 159 wiadebug.log
11.05.2006 18:39 1.716.385 WindowsUpdate.log
11.05.2006 18:39 50 wiaservc.log
11.05.2006 18:39 2.048 bootstat.dat
11.05.2006 17:59 32.622 SchedLgU.Txt
11.05.2006 13:48 5.805 WGA.log
11.05.2006 13:48 518.054 setupapi.log
11.05.2006 09:05 4.578 rdt.ini
10.05.2006 09:41 229 NeroDigital.ini
20.04.2006 20:04 34 cdplayer.ini
20.04.2006 10:57 1.193 Alltag.ini
26.03.2006 21:07 41.582 DirectX.log
22.03.2006 17:53 3.612 mozver.dat
19.02.2006 15:07 442 win.ini
24.01.2006 17:13 25.601 CSTBox.INI
23.01.2006 15:36 429 datFind.bat
20.01.2006 15:00 14 dswplug.ini
19.01.2006 20:58 7.469 wmsetup.log
19.01.2006 12:52 720.896 iun6002ev.exe
17.01.2006 13:26 80.943 ntdtcsetup.log
17.01.2006 13:26 20.848 ocmsn.log
17.01.2006 13:26 19.575 msgsocm.log
17.01.2006 13:26 192.458 ocgen.log
17.01.2006 13:26 1.917 imsins.log
17.01.2006 13:26 59.818 iis6.log
17.01.2006 13:26 151.431 tsoc.log
17.01.2006 13:26 136.140 comsetup.log
17.01.2006 13:26 383.067 FaxSetup.log
10.01.2006 14:37 2.510 Microsoft.MIF
10.01.2006 14:37 2.464 $_hpcst$.hpc
01.01.2006 19:34 189.940 setupact.log



----------------------------------------------------------------

LOG 4

Datentr„ger in Laufwerk C: ist Windoof-XP
Volumeseriennummer: 808D-F4E9

Verzeichnis von C:\

11.05.2006 19:45 0 sys.txt
11.05.2006 19:43 7.403 system.txt
11.05.2006 19:42 1.661 systemtemp.txt
11.05.2006 19:35 99.287 system32.txt
11.05.2006 18:39 1.610.612.736 pagefile.sys
11.05.2006 16:06 266.529 hpfr3600.log
23.01.2006 15:36 429 datFind.bat
12.11.2005 20:06 1.389 dvdfabexpress_burn.log


----------------------------------------------------

zuguter letzt f-secure

LOG

05/11/06 19:21:44 [Info]: BlackLight Engine 1.0.36 initialized
05/11/06 19:21:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/11/06 19:21:44 [Note]: 7019 4
05/11/06 19:21:44 [Note]: 7005 0
05/11/06 19:21:53 [Note]: 7006 0
05/11/06 19:21:53 [Note]: 7011 272
05/11/06 19:21:53 [Note]: 7026 0
05/11/06 19:21:53 [Note]: 7026 0
05/11/06 19:21:58 [Note]: FSRAW library version 1.7.1015
05/11/06 19:22:22 [Info]: Hidden file: c:\Programme\Hewlett-Packard\Digital Imaging\bin\DestTest.exe
05/11/06 19:22:22 [Note]: 10002 1
05/11/06 19:22:50 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
05/11/06 19:22:50 [Note]: 10002 1
05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\dmvop.exe
05/11/06 19:22:51 [Note]: 7002 32
05/11/06 19:22:51 [Note]: 7003 1
05/11/06 19:22:51 [Note]: 10002 1
05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
05/11/06 19:22:51 [Note]: 10002 1
05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\howiper.exe
05/11/06 19:22:51 [Note]: 10002 1
05/11/06 19:22:53 [Info]: Hidden file: c:\WINDOWS\system32\csmsa.exe
05/11/06 19:22:53 [Note]: 7002 32
05/11/06 19:22:53 [Note]: 7003 1
05/11/06 19:22:53 [Note]: 10002 1
05/11/06 19:23:24 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
05/11/06 19:23:24 [Note]: 10002 1
05/11/06 19:25:18 [Note]: 7007 0
--------------------------------------------------

In der Hoffnung dass dir das bei meinem Problem weiterhilft verbleibe ich
dankend.

Liebe Grüße Michael


Ps.: Ist mein System nun sauber, oder hast du schon was feststellen können, mich würde mal interessieren wie man seinen PC noch besser schützen kann. Firewall und alles ist an.


---------------------------------------------------

Hi Sabina,

habe eben nochmal etwas gecheckt.
Dabei fiel mir auf dass Tuneup 2004 auch nicht mehr richtig läuft.

Beim Disccleaner kommt nach einer Weile die Meldung " Zugriffsverletzung bei Adresse 00BA5903, Lesen von Adresse 6578653E "

Der Tuneup Registry Cleaner dauert nun auch 2 Minueten bis der Scan beginnt. Dies war alles vorher ohne Probs und funzte ruckzuck.

Gruß Michael
----------------------------------------------------

Hi Sabina,

habe das Posting eben nochmal bearbeitet, da ich mit meinem Virenscanner in C:\Windows\....\mediacodec-v4.290.exe das Trojanische Pferd "TR/Drop.Zlob.Fk.2.A" gefunden und eliminiert habe.

#4 Kalumba

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-4734-477F-8257-27CD04F88779}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{94A0E512-EFBE-18DE-9964-820E962F7FAD}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{6088FF2E-998F-5345-4D93-575B4AFA0449}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{0B153C28-A333-7429-BFDB-96F936AA144A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{C74B8E7B-E9D0-F7D9-31DF-613FE2CB8D68}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{2FDB21EE-AE4F-D8B4-B896-B87B675B623B}]

[-HKEY_CLASSES_ROOT\CLSID\{94A0E512-EFBE-18DE-9964-820E962F7FAD}]
[-HKEY_CLASSES_ROOT\CLSID\{6088FF2E-998F-5345-4D93-575B4AFA0449}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..

c:\WINDOWS\system32\pppcgm.exe
c:\WINDOWS\system32\dmvop.exe
c:\WINDOWS\system32\filesafer23.exe
c:\WINDOWS\system32\howiper.exe
c:\WINDOWS\system32\csmsa.exe
c:\WINDOWS\system32\ixpov.dll
c:\WINDOWS\rdt.ini

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O1 - Hosts: localhost 127.0.0.1
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{726827D8-2310-49A3-8BE0-CB8F315A6B83}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F390E5A-69FD-4C2D-9A53-4CE8BACCC89D}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 85.255.115.61,85.255.112.97

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

**
deinstalliere..loesche UnSpyPC

-------------------------------------------------------------------
**
boote wieder in den Normalmodus

**
du musst eine neue Internetverbindung erstellen

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
Download FixWareout:
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

**
scanne mit ewido und poste den sanreport
http://virus-protect.org/ewido.html

**
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,


habe alles ausgeführt, bis auf das Löschen von UnSpyPc, das hatte ich gestern schon gemacht, hoffentlich richtig!!!!
Das booten im abgesicherten Modus funktionierte bei meinem PC- Siemens Scaleo nicht richtig, zwar kam eine Maske wo ich zwischen HDD und Cd-Rom wechseln konnte, aber die Kiste bootete dann normal hoch als ich auf HDD drückte. Es kam auch keine andere Meldung.

Ich habe also die fixme.reg im normalmodus ausgeführt !!!!!!!

------------------------------------------------------------------------------------
HIER IST DER FixWAREOUT-Report

Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSFOL.EXE

»»»»» Misc files
* thequicklink C:\WINDOWS\System32\IXPOV.DLL

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSFOL.EXE 51.253 2006-05-11
C:\WINDOWS\SYSTEM32\DMASG.EXE 44.053 2005-04-07
------------------------------------------------------------------------------
HIER nochaml ein HIJack-LOG

Logfile of HijackThis v1.99.1
Scan saved at 09:58:04, on 12.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\WINDOWS\system32\Ati2evxx.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
E:\Brennen_WICHTIG\HijackThis\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dmlfs.exe] C:\WINDOWS\system32\dmlfs.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 192.168.178.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
-----------------------------------------------------------------------------

Hier der LOG von EWIDO
Ich habe aber nicht online gescannt, sondern den Scanner installiert !!!

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 10:25:48, 12.05.2006
+ Report-Checksumme: A8A28AFF

+ Scanergebnis:

[232] VM_01310000 -> Trojan.Pakes : Fehler beim Säubern
[3776] VM_00A20000 -> Trojan.Pakes : Fehler beim Säubern
C:\!KillBox\ixpov.dll -> Adware.SBSoft : Gesäubert mit Backup
C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\b5dihzhg.default\cookies.txt.old -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wfkiogazcep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TEST\Cookies\test@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@e-2dj6wfkiqkd5wgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@e-2dj6wfmiwidzado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tina\Cookies\tina@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert mit Backup
C:\WINDOWS\system32\csfol.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\WINDOWS\system32\ixpov.dll -> Adware.SBSoft : Gesäubert mit Backup
Adware.ISearch : Gesäubert mit Backup


::Report Ende
--------------------------------------------------------------------------
SABINA ich hoffe das wars nun???

Wie kann ich in Zukunft mein System besser vor solch einem Schund schützen??

In Erwartung auf deine Antwort verbleibe ich mit einem dankenden Gruß

Michael

#6 1.
fixe mit HijackThis: (noch nicht neustarten)

Zitat

O4 - HKLM\..\Run: [dmlfs.exe] C:\WINDOWS\system32\dmlfs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab

fixe auch, damit es aus dem Autostart kommt, es verfaelscht die Ergebnisse anderer Scanner)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

------------------------------------

2.
loesche mit der Killbox:
C:\WINDOWS\system32\dmlfs.exe

3.
PC neustarten

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

5.
scanne noch mal mit ewido (poste den report)

6.
poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

zu 1. ist alles gemacht bis auf O4.........dmlfs.exe , da diese in HiJack nicht mehr vorhanden war.

zu 2. Killbox fand auch diese Datei nicht mehr . Does not exist.
zu 3. = gemacht
zu 4. hmmm ich hatte die Systemherstellung bereits zu Beginn der Installation von Winddoof deaktiviert. Habe es nun aktiviert

-----------------------------------------------------------------------------

Adaware kann ich noch immer nicht installieren, da kommt ein Kasten mit der Meldung aaw.... hat ein Problem festgestellt und muss beendet werden !!!

---------------------------------------------------------------------------

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:32:24, 12.05.2006
+ Report-Checksumme: 9AB7ABF2

+ Scanergebnis:

C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup


::Report Ende
-------------------------------------------------------


Silent Runner die Datei SilentRunner.vbs liegt mir vor. Beim Doppelklick auf diese Datei, kommt die Meldung " Der Zugriff auf Windows Script Host wurde für diesen PC deaktiviert. Wenden Sie sich an Ihren Admin...."


----------------------------------------------------
Hier nochmal ein HiJack LOG

Logfile of HijackThis v1.99.1
Scan saved at 11:38:22, on 12.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\ewido anti-malware\securitysuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Brennen_WICHTIG\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 192.168.178.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

-------------------------------------------------------------

Gruß Michael

P.s.: Es wird zwar überall Stefan angezeigt, denn der PC gehört meinem Bruder

#8 wenn du xpantispy installiert hast, aendere die host-Einstellung dort
oder
Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)

dann poste das Silentruner-Log
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hmmm

xpantispy iss installiert.

Habe das in der Registry gefunden, aber einen Wert 1 zu setzen geht nicht, dann kommt kein gültiger Dwort !!!!!


Siehe angefügte Datei.

Bin wohl doch zu doof

Gruß Michael

#10 dann veraendere die einstellung im xpantispy
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi,

tja ichhabe aber in der Registry nun schon was verändert und ich weiß nicht mehr was vorher bei enabled stand.

Gruß Michael
--------------------------
So habe nun das LOG vom Silent Runner.
-----------------------------------------------
"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"H/PC Connection Agent" = ""F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"nTrayFw" = "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" ["NVIDIA Corporation"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided)
-> {HKLM...CLSID} = "HelperObject Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll" ["TechSmith Corporation"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
-> {HKLM...CLSID} = "SnagIt"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension"
-> {HKLM...CLSID} = "SnagItShellExt Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "E:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
-> {HKLM...CLSID} = "IMMenuShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {HKLM...CLSID} = "SnagItShellExt Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
-> {HKLM...CLSID} = "SnagItShellExt Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 15, 31
%SystemRoot%\system32\mswsock.dll [MS], 16 - 18, 21 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 19 - 20


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{F56CD8CD-E5F3-48CF-BE44-DA45265BCD01}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_04"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "F:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "F:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS]

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
ForceWare Intelligent Application Manager (IAM), ForceWare Intelligent Application Manager (IAM), "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe" [empty string]
ForceWare IP service, nSvcIp, "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe" ["NVIDIA"]
ForceWare user log service, nSvcLog, "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe" ["NVIDIA"]
Forceware Web Interface, ForcewareWebInterface, ""E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"]
GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 31 seconds, including 18 seconds for message boxes)
------------------------------------------------------------

Aber das mit der Registry "enabled" habe ich noch nicht gelöst

Ciao Miachel

#12

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

PC neustarten

poste das neue Log vom Silentrunner
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina,

habs gemacht.

Ist das die richtige Silent Runner Log-Datei??
--------------------------------------------------------

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"H/PC Connection Agent" = ""F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"nTrayFw" = "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" ["NVIDIA Corporation"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided)
-> {HKLM...CLSID} = "HelperObject Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll" ["TechSmith Corporation"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
-> {HKLM...CLSID} = "SnagIt"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension"
-> {HKLM...CLSID} = "SnagItShellExt Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "E:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
----------------------------

Gruü Michael

#14 nun gut, es ist alles wieder in Ordung
wenn es noch Probleme geben sollte, melde dich, ich lasse den Thread auf.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Huhu Sabina.

DU HAST ES GESCHAFFT. VIELEN VIELEN DANK.

Eins ist sicher beim nächsten Problem melde ich mich wieder, denn das ist ein Service von aller erster Güte.

Eine Frage bitte noch.
Welche Präventivmassnahmen kann ich in der Zukunft vornehmen um einiger maßen geschützt zu sein???

Liebe Grüße

Michael
------------------------------------------------------------------

ICH BITTE NOCHMAL UM HILFE.

Soeben 14.5.06 hatte ich folgende Fehlermeldung auf dem Desktop
" Das System wird nach einem schwerwiegenden fehler wieder ausgeführt"

Ich würde auch gerne Ad-Aware wieder installieren, aber es ghet nicht

Gruß Michael


-------------------------------------------------------------------------

Hmm

habe eben nochmal versucht Adaware zu installieren und dann kam wieder dass hier -->>> siehe Anlage.

Gruß

Michael