Neuer Bösewicht ? Noch nie dagewesenes Phänomen.

#1 Bis vor 2 Tagen lief mein System absolut stabil und zuverlässig !!!

AMD 3000, 1GB, Win XP, SP2, alle Patches und Updates ! Aktuelle Treiber etc.
System ist nicht übertaktet und hat keine Kühlungsprobleme !

Doch dann hingen sich immer wieder einzelne Programme auf ( zb. DSL-SpeedManager)...nach Deinstallation selbiges Problem !Ok daran lags nicht...mir viel auf, dass des Phänomen nur auftritt, wenn ich online gehe (Netgear WLAN-USB Stick - Linksys Router - T-COM DSL Modem )

Und nun zum eigentlichen Phänomen !
Anfangs läuft alles...doch dann lassen sich einzelne Programme, keine spezielles plötzlich nichtmehr starten, sogar der TaskManager lässt sich nichtmehr aufrufen !
Beim MS-Internet Explorer sieht man, wie er startet und sofort wieder verschwindet, auch in der Taskleiste !!! Da ich nicht dumm bin, startete ich zu Beginn gleich den TaskManager um zu überprüfen, ob denn die angeblich nicht startenden Programme auch wirklich nicht laufen...siehe da...sie lassen sich zwar nicht starten und sind in der Taskleiste nicht zu sehen, aber im TaskManager laufen sie alle !!!
Wenn man sie dort über "Prozess beenden" killt und wieder startet, gleiches Problem....ab und an verschwindet sogar der Explorer...der sich aber ab und zu wieder über "NeuenTask" mit "explorer.exe" starten lässt, wenn nicht, hilt nur noch der Reset !

OK....meine Fehlersuche :

Aktuelles avast! Antivirus ------> keine Funde !
Aktuelles AntiVir ------> keine Funde !
Spybot Search&Destroy ------> keine Funde !
Stinger neueste Version ------> keine Funde !
HighJack This ------> keine auffälligkeiten und Analyse SAUBER
Panda Online Virusscanner------> keine Funde !

So und zwischen durch kommt immer wieder mal das gute alte sasser-lovsan...etc. Sympthom mit dem "NT-Autoritäts\System" und das Herunterfahren des Systems, das ich aber jedesmal unterbinde !

Tja und zu guter Letzt, habe ich auch sämtliche Registry Einträge auf bekannte Signaturen, die auf Würmer, Trojaner etc. hinweisen, untersucht, jedoch alle ohne etwas zu finden !

Ich bin total ratlos...vielleicht hat noch jemand von euch eine Idee !

#2 Mehrere Optionen moeglich:

Die INformation aus diesem Link bereitstellen http://board.protecus.de/t23187.htm
Systemwiederherstellungspunkt von vor 2-3 Tagen nutzen.
Hardwarefehler......
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

wie gewünscht, hier die LOG´s.

Datentr„ger in Laufwerk C: ist Int200er
Volumeseriennummer: C81D-8FB5

Verzeichnis von C:\WINDOWS\system32

22.05.2006 12:08 66.930 OODBS.lor
20.05.2006 15:59 2.206 wpa.dbl
20.05.2006 12:45 401.200 perfh009.dat
20.05.2006 12:45 62.480 perfc009.dat
20.05.2006 12:45 415.800 perfh007.dat
20.05.2006 12:45 75.194 perfc007.dat
20.05.2006 12:45 961.856 PerfStringBackup.INI
19.05.2006 16:28 245.807 kspydoc.log
19.05.2006 16:28 0 Sweeper.cfg
19.05.2006 15:59 2.550 Uninstall.ico
19.05.2006 15:59 1.406 Help.ico
19.05.2006 15:59 30.590 pavas.ico
19.05.2006 15:52 0 asfiles.txt
05.05.2006 10:12 103.032 FNTCACHE.DAT
06.04.2006 10:54 73.728 asuninst.exe
04.04.2006 20:43 659.744 wodHttp.dll
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
29.03.2006 21:43 7.006 jupdate-1.5.0_06-b05.log
13.03.2006 00:09 98.304 CmdLineExt.dll
11.03.2006 18:41 684.032 iGrid251_75B4A91C.ocx
09.03.2006 16:21 4.799.320 MRT.exe
09.03.2006 13:03 8.464 sporder.dll
18.02.2006 14:47 28 mcheck.mhf
28.01.2006 20:55 34.064 lhacm.acm
18.01.2006 13:05 57.344 avsda.dll
10.01.2006 18:19 15.360 BASSMOD.dll
***********************************************************
Datentr„ger in Laufwerk C: ist Int200er
Volumeseriennummer: C81D-8FB5

Verzeichnis von C:\WINDOWS\Temp

22.05.2006 12:27 240 datFind.zip
22.05.2006 12:08 111.325 WCESLog.log
22.05.2006 12:08 0 JETAA88.tmp
22.05.2006 12:08 0 JETA22B.tmp
20.05.2006 21:22 16.384 Perflib_Perfdata_288.dat
5 Datei(en) 127.949 Bytes
0 Verzeichnis(se), 51.345.227.776 Bytes frei
***********************************************************
Datentr„ger in Laufwerk C: ist Int200er
Volumeseriennummer: C81D-8FB5

Verzeichnis von C:\WINDOWS

22.05.2006 12:08 0 0.log
22.05.2006 12:08 2.048 bootstat.dat
21.05.2006 21:58 905.471 setupapi.log
21.05.2006 11:38 116 NeroDigital.ini
20.05.2006 21:37 53.501 f-sasser.log
20.05.2006 20:33 27.655 WindowsUpdate.log
20.05.2006 20:31 350.928 ntbtlog.txt
20.05.2006 16:59 32.562 SchedLgU.Txt
20.05.2006 13:59 159 wiadebug.log
20.05.2006 13:59 50 wiaservc.log
19.05.2006 23:25 162.164 setupact.log
19.05.2006 22:47 737.280 iun6002.exe
19.05.2006 18:07 352 system.ini
19.05.2006 16:53 932 ARPR.INI
19.05.2006 15:59 32 pavsig.txt
19.05.2006 15:52 536 win.ini
18.05.2006 15:52 306 nsw.log
16.05.2006 12:45 25.370 wmsetup.log
10.05.2006 12:54 67.313 SUPER SUDOKU Uninstaller.exe
10.05.2006 12:51 4.096 d3dx.dat
04.05.2006 14:57 69.063 iis6.log
04.05.2006 14:57 22.111 comsetup.log
04.05.2006 14:57 11.809 ntdtcsetup.log
04.05.2006 14:57 20.524 tsoc.log
04.05.2006 14:57 2.086 tabletoc.log
04.05.2006 14:57 1.891 imsins.log
04.05.2006 14:57 24.766 ocgen.log
04.05.2006 14:57 2.362 MedCtrOC.log
04.05.2006 14:57 30.692 FaxSetup.log
04.05.2006 14:57 15.882 msmqinst.log
17.04.2006 14:04 163.488 DirectX.log
04.04.2006 17:01 23 BlendSettings.ini
29.03.2006 21:44 4.327 mozver.dat
23.03.2006 19:32 11.333 EAConfigInfo.txt
27.02.2006 15:09 2.560 helpTw.exe
18.02.2006 17:03 167 game.ini
16.02.2006 15:14 44 WININIT.INI
08.02.2006 13:49 502 ODBC.INI
08.02.2006 13:05 64 wiso.ini
27.01.2006 22:46 183.296 NDNuninstall7_22.exe
20.01.2006 00:11 180 Ip_tools.INI
20.01.2006 00:04 151 PhotoSnapViewer.INI
09.01.2006 16:52 6.644 KB909394.log
09.01.2006 16:52 1.355 imsins.BAK
09.01.2006 16:52 8.624 KB894476.log
09.01.2006 16:17 2.518 Microsoft.MIF
08.01.2006 02:55 377 wmsetup10.log
04.01.2006 23:59 183.296 NDNuninstall7_14.exe
02.01.2006 16:41 99.970 UninstallFirefox.exe
29.12.2005 15:07 182.272 NDNuninstall6_98.exe
28.12.2005 19:43 169 RtlRack.ini
28.12.2005 19:21 0 nsreg.dat

105 Datei(en) 8.109.375 Bytes
0 Verzeichnis(se), 51.345.219.584 Bytes frei
***********************************************************
Datentr„ger in Laufwerk C: ist Int200er
Volumeseriennummer: C81D-8FB5

Verzeichnis von C:\

22.05.2006 12:27 0 sys.txt
22.05.2006 12:27 5.473 system.txt
22.05.2006 12:27 480 systemtemp.txt
22.05.2006 12:27 100.520 system32.txt
22.05.2006 12:08 1.610.612.736 pagefile.sys
19.05.2006 21:28 4.740 TDSLCheck.txt
19.05.2006 15:30 211 boot.ini
14.01.2006 13:08 693.992 P1140002.JPG
10.01.2006 16:43 352 INSTALL1.LOG
28.12.2005 18:55 32 csb.log
28.12.2005 18:39 0 CONFIG.SYS
28.12.2005 18:39 0 AUTOEXEC.BAT
28.12.2005 18:39 0 MSDOS.SYS
28.12.2005 18:39 0 IO.SYS
28.03.2001 12:00 4.952 bootfont.bin
28.03.2001 12:00 47.564 NTDETECT.COM
28.03.2001 12:00 251.184 ntldr
17 Datei(en) 1.611.722.236 Bytes
0 Verzeichnis(se), 51.345.227.776 Bytes frei
***********************************************************

Ich hoffe DU kannst was finden, denn alle Scanner haben erneut nichts gefunden .

Harwaredefekte sind auch auszuschliessen, da alle Baord, CPU, VGA etc. ihren Dienst mit anderer System-HDDA verrichten.

Gruß
Claudius

#4 Claudius

Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
+
das Log von winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Sappalott...seid ihr schnell :-)

ich wusste, dass ich was vergessen habe....sorry

Logfile of HijackThis v1.99.1
Scan saved at 14:25:21, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\utility\Alwil Software\Avast4\aswUpdSv.exe
C:\utility\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
C:\utility\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Claudius\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Utility\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\utility\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\utility\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\utility\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
***********************************************************



beim erstellen des log mit winpfind habe ich probleme....erhängt sich immer wieder an der datei "$_hpcst$.hpc" auf, bzw. kann diese nicht öffnen und beendet den scan nicht....ich probiers aber weiter !

Aso...die datei steht in C:\dokumente und einstellungen\claudius\anwendungsdaten\$_hpcst$.hpc

gruss
claudius

#6 versuche es mit dem Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 "Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\wcescomm.exe"" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Utility\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\utility\WinRAR\rarext.dll" [null data]
"{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\utility\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\utility\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
-> {HKLM...CLSID} = "Mobiles Gerät"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\Wcesview.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\utility\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\utility\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\utility\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\utility\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\utility\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\utility\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\utility\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp"


Startup items in "Claudius" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"MA111 Configuration Utility" -> shortcut to: "C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe" [null data]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\INetRepl.dll" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
avast! Antivirus, avast! Antivirus, ""C:\utility\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\utility\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Web Scanner, avast! Web Scanner, ""C:\utility\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor PIXMA iP4000\Driver = "CNMLM64.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 40 seconds, including 18 seconds for message boxes)

#8 Claudius

1.
Gehe in die Registry
Start-Ausfuehren - regedit

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net --> loeschen

---------------------------------------------------------

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\helpTw.exe
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall7_14.exe
C:\WINDOWS\NDNuninstall6_98.exe

PC neustarten

3.
**
deinstalliere newdotnet , falls es unter programme vorhanden ist.

**
4.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina

so, bin nun endlich dazugekommen alles genauestens durchzuführen !
Ich muss mich recht herzlich bedanken, denn bisher läuft alles wieder sehr sabil.

Ihr/Du seid/bist wahre Könner...vielen Danke nochmals......mir stellt sich nur die Frage, wie es diese Schädlinge überhaupt auf mein System schaffen konnten, da ich doch alle erdenklichen Wächter am Laufen habe !!!

Klar dürft ihr keine Empfehlungen über Software geben, alsoFrage ich erst garnicht, was ihr zum Rundumschutz empfiehlt !

Ich frage einfach, was ihr so auf euren Systemen an Scannern etc. installiert habt !

Ich danke euch nochmal allen recht herzlichst und werde euch wärmstens weiterempfehlen...

Liebe Grüsse

Claudius