regedit und Systemwiederherstellung sind nicht nutzbar

#1 Ich bekam dauernd beim neustart die Fehlermeldung das die c:\windows\system32.scvhost.exe fehlt
nach dem ich bisschen gegoogelt hab und auf diese Seite kam nutzte ich Hijackthis um es zu löschen unten nochmal die log nach dem es weg war.
So die Fehlermeldung kommt nicht mehr aber ich kann immer noch nicht in die
regedit, Systemwiederherstellung

Logfile of HijackThis v1.99.1
Scan saved at 11:19:05, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ICQ Lite] "C:\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\SchnapperPro\SchnapperPro.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B5ACBB-BE67-4071-BD76-C1FF14659169}: NameServer = 81.173.194.68 213.168.112.60
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[/i]

#2 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

**
poste das log (komplett) vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 danke Sabina in die reg edit komm ich nun wieder
aber die wenn ich in die Systemwiederherstellung will kommt "Die Systemwiederherstellung würde aufgrund einer Gruppenrichlinie deaktiviert. Wenden Sie sich an den Domänenadministrator, um die Systemwiederherstellung zu aktivieren."

hier das log von Silientrunner

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Generic Host Process" = "C:\WINDOWS\system32\scvhost.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NWEReboot" = (empty string)
"Acrobat Assistant 7.0" = ""C:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"(Default)" = (empty string)
"Zone Labs Client" = "C:\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"ICQ Lite" = ""C:\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{79BC0345-1015-11D2-A299-006008312725}" = "blue.shell"
-> {HKLM...CLSID} = "Studio.Project"
\InProcServer32\(Default) = "D:\Pinnacle\Studio 10\programs\BlueShellExt.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\
HIJACK WARNING! "DisableSR"=dword:00000001
[removes Control Panel|System|System Restore (tab) and disables applet]
{Computer Configuration|Administrative Templates|System|System Restore|
Turn off System Restore}

HIJACK WARNING! "DisableConfig"=dword:00000001
[disables options on Control Panel|System|System Restore (tab)]
{Computer Configuration|Administrative Templates|System|System Restore|
Turn off Configuration}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Adobe Acrobat - Schnellstart" -> shortcut to: "C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}\
"ButtonText" = "Knowledge Base Suche"
"MenuText" = "Knowledge Base Suche"
"Exec" = "http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO" [file not found]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{D6243B39-211B-440E-B4C5-26D2A579CAC8}\
"ButtonText" = "SchnapperPro"
"CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
-> {HKLM...CLSID} = "Toolbar Extension for Executable"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"Exec" = "C:\SchnapperPro\SchnapperPro.exe" [null data]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 42 seconds, including 6 seconds for message boxes)

#4 ich sehe schon , was es ist:
http://virus-protect.org/artikel/dienste/wsock32sys.html

**
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
-----------

falls cmd nicht klappen sollte:

Zitat

Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-------

HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\
"DisableSR"=dword:00000001 -> in 0 aendern oder loeschen
"DisableConfig"=dword:00000001 -> in 0 aendern oder loeschen

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"Generic Host Process" -> loeschen



PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 also HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
gibts irgendwie nicht nach HKEY_CURRENT_USER\Software\Microsoft\Windows\ kommt nur noch
CurrentVersion
Shell
und ShellNoRoam

edit: achja und die cmd klappt auch nicht

und ne HKLM gibts auch nicht

#6 1.
HKLM bedeutet ausgeschrieben: - HKEY_LOCAL_MACHINE

2.
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

3.
PC neustarten

4.
poste die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 okey cmd geht wieder

und hier das log

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 5256-FD84
Verzeichnis von E:\

19.05.2006 01:42 1.343.738 feiern.mp3
15.05.2006 22:46 16.767.496 avg71free_392a744.exe
27.01.2006 22:08 5.153.792 irfanview_plugins_398.exe
27.01.2006 17:53 905.216 iview398.exe
4 Datei(en) 24.170.242 Bytes
0 Verzeichnis(se), 38.123.515.904 Bytes frei

ich hoff mal das ist das richtige

achja danke nochmal mein taskmanager und die systemsteuerung klappen jetzt wieder. supper das du mir so schnell helfen konntest

#8 du musst die Datfindbat auf C:\ entpacken und anwenden
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D032-B2C5

Verzeichnis von C:\WINDOWS\system32

12.07.2006 13:52 383.254 perfh009.dat
12.07.2006 13:52 53.608 perfc009.dat
12.07.2006 13:52 394.500 perfh007.dat
12.07.2006 13:52 64.598 perfc007.dat
12.07.2006 13:52 906.552 PerfStringBackup.INI
12.07.2006 13:49 35.975 vsconfig.xml
11.07.2006 12:14 45 blue.SITENAME
11.07.2006 12:12 214.472 FNTCACHE.DAT
11.07.2006 10:29 2.278 wpa.dbl
15.06.2006 23:55 778.240 divx_xx07.dll
15.06.2006 23:55 778.240 divx_xx0c.dll
15.06.2006 23:55 761.856 divx_xx11.dll
15.06.2006 23:55 620.180 DivX.dll
14.06.2006 19:49 118.784 DivXCodecUpdateChecker.exe
13.06.2006 23:36 700.416 divxdec.ax
12.06.2006 21:22 4.276 divxsm.tlb
12.06.2006 21:22 520.192 DivXsm.exe
12.06.2006 21:22 10.863 dsm_ja.qm
12.06.2006 21:22 15.507 dsm_de.qm
12.06.2006 21:22 15.299 dsm_fr.qm
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
25.05.2006 00:48 421.888 pxdrv.dll
25.05.2006 00:48 109.568 pxinsi64.exe
25.05.2006 00:48 172.032 pxmas.dll
25.05.2006 00:48 372.736 px.dll
25.05.2006 00:48 61.440 pxhpinst.exe
25.05.2006 00:48 56.320 pxinsa64.exe
25.05.2006 00:48 339.968 pxwave.dll
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
25.05.2006 00:43 245.408 unicows.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
15.05.2006 21:50 13.708 ckl009.dat
14.05.2006 10:48 181.248 rasmans.dll
13.05.2006 15:48 180 del32.bat
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
19.04.2006 02:04 12.288 DivXWMPExtType.dll
19.04.2006 02:04 8.523 dpude.qm
19.04.2006 02:04 3.136 dtu_de.qm
14.04.2006 16:22 4.212 zllictbl.dat
28.03.2006 00:25 659.744 wodHttp.dll
27.03.2006 16:45 75 LuResult.txt
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
06.11.2005 20:38 30 brss01a.ini
06.11.2005 20:38 184 brsvc01a.bsi
01.11.2005 23:49 5.618 jupdate-1.5.0_05-b05.log
01.11.2005 23:00 3.503 $winnt$.inf
01.11.2005 22:56 634 InstallUtil.InstallLog
01.11.2005 22:54 2.951 CONFIG.NT
01.11.2005 22:53 16.832 amcompat.tlb

okidoki habs auf C:\ gemacht

gibts eigentlich nen virenscanner und ne firewall die du empfehlen kannst

#10 **
loesche:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat

leider hast du mir nicht die anderen drei Logs von datfindbat gepostet. Ich kann also nichts weiter raussuchen.

**
scanne mit Counterspy, stelle nach dem scan alles auf "remove" und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ohh sorry ich hab jetzt erst gerafft was du mit 4 log meinst
wenn ich das mit dem C:\DOKUME~1\Username\LOKALE~1\Temp machen will bekomm ich immer wieder den C:\Windows\system32 ordner als ergebnis raus


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D032-B2C5

Verzeichnis von C:\WINDOWS\system32

12.07.2006 13:52 383.254 perfh009.dat
12.07.2006 13:52 394.500 perfh007.dat
12.07.2006 13:52 53.608 perfc009.dat
12.07.2006 13:52 64.598 perfc007.dat
12.07.2006 13:52 906.552 PerfStringBackup.INI
12.07.2006 13:49 35.975 vsconfig.xml
11.07.2006 12:14 45 blue.SITENAME
11.07.2006 12:12 214.472 FNTCACHE.DAT
11.07.2006 10:29 2.278 wpa.dbl
15.06.2006 23:55 778.240 divx_xx07.dll
15.06.2006 23:55 778.240 divx_xx0c.dll
15.06.2006 23:55 761.856 divx_xx11.dll
15.06.2006 23:55 620.180 DivX.dll
14.06.2006 19:49 118.784 DivXCodecUpdateChecker.exe
13.06.2006 23:36 700.416 divxdec.ax
12.06.2006 21:22 4.276 divxsm.tlb
12.06.2006 21:22 520.192 DivXsm.exe
12.06.2006 21:22 10.863 dsm_ja.qm
12.06.2006 21:22 15.507 dsm_de.qm
12.06.2006 21:22 15.299 dsm_fr.qm
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
25.05.2006 00:48 421.888 pxdrv.dll
25.05.2006 00:48 109.568 pxinsi64.exe
25.05.2006 00:48 172.032 pxmas.dll
25.05.2006 00:48 372.736 px.dll
25.05.2006 00:48 61.440 pxhpinst.exe
25.05.2006 00:48 56.320 pxinsa64.exe
25.05.2006 00:48 339.968 pxwave.dll
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
25.05.2006 00:43 245.408 unicows.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 SETA9.tmp
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 SETAA.tmp
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
19.04.2006 02:04 12.288 DivXWMPExtType.dll
19.04.2006 02:04 8.523 dpude.qm
19.04.2006 02:04 3.136 dtu_de.qm
14.04.2006 16:22 4.212 zllictbl.dat
28.03.2006 00:25 659.744 wodHttp.dll
27.03.2006 16:45 75 LuResult.txt
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D032-B2C5

Verzeichnis von C:\WINDOWS\system32

12.07.2006 13:52 383.254 perfh009.dat
12.07.2006 13:52 394.500 perfh007.dat
12.07.2006 13:52 53.608 perfc009.dat
12.07.2006 13:52 64.598 perfc007.dat
12.07.2006 13:52 906.552 PerfStringBackup.INI
12.07.2006 13:49 35.975 vsconfig.xml
11.07.2006 12:14 45 blue.SITENAME
11.07.2006 12:12 214.472 FNTCACHE.DAT
11.07.2006 10:29 2.278 wpa.dbl
15.06.2006 23:55 778.240 divx_xx07.dll
15.06.2006 23:55 778.240 divx_xx0c.dll
15.06.2006 23:55 761.856 divx_xx11.dll
15.06.2006 23:55 620.180 DivX.dll
14.06.2006 19:49 118.784 DivXCodecUpdateChecker.exe
13.06.2006 23:36 700.416 divxdec.ax
12.06.2006 21:22 520.192 DivXsm.exe
12.06.2006 21:22 4.276 divxsm.tlb
12.06.2006 21:22 15.507 dsm_de.qm
12.06.2006 21:22 10.863 dsm_ja.qm
12.06.2006 21:22 15.299 dsm_fr.qm
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
25.05.2006 00:48 421.888 pxdrv.dll
25.05.2006 00:48 109.568 pxinsi64.exe
25.05.2006 00:48 172.032 pxmas.dll
25.05.2006 00:48 372.736 px.dll
25.05.2006 00:48 61.440 pxhpinst.exe
25.05.2006 00:48 56.320 pxinsa64.exe
25.05.2006 00:48 339.968 pxwave.dll
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
25.05.2006 00:43 245.408 unicows.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 SETA9.tmp
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 SETAA.tmp
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
19.04.2006 02:04 12.288 DivXWMPExtType.dll
19.04.2006 02:04 8.523 dpude.qm
19.04.2006 02:04 3.136 dtu_de.qm
14.04.2006 16:22 4.212 zllictbl.dat
28.03.2006 00:25 659.744 wodHttp.dll
27.03.2006 16:45 75 LuResult.txt
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll
23.01.2006 15:36 429 datFind.bat
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll

#12 versuche es damit:
Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. kopiere von jedem nur 3 monate ab (also...nicht alles !)
http://board.protecus.de/download.php?id=213002.datFind.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#13 okey danke hier also die logs

und der report von counterspy, ich hoff das ist das richtige

Spyware Scan Details
Start Date: 13.07.2006 13:17:45
End Date: 13.07.2006 13:56:00
Total Time: 38 mins 15 secs

Detected spyware

Radar Spy 1.0 Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\administrator.windowspc\cookies\administrator@tradedoubler[1].txt




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D032-B2C5

Verzeichnis von c:\

13.07.2006 15:08 0 dirdat.txt
13.07.2006 12:30 536.399.872 hiberfil.sys
13.07.2006 12:30 805.306.368 pagefile.sys
13.07.2006 10:45 101.513 system32.txt
13.07.2006 10:35 24.800 systemtemp.txt
11.07.2006 22:11 435 sys.txt
11.07.2006 22:10 435 system.txt
11.07.2006 20:22 240 datFind.zip
11.07.2006 11:57 67 AUTOEXEC.BAT
20.05.2006 13:15 7.849.748 winstger.exe
10.04.2006 08:09 211 boot.ini
12.03.2006 12:49 417.167 Bewerbung.dax
11.03.2006 21:23 3.498 Bewerbung.ini
11.03.2006 21:13 266 update.cfg

Verzeichnis von C:\WINDOWS\system32

13.07.2006 12:34 53.608 perfc009.dat
13.07.2006 12:34 383.254 perfh009.dat
13.07.2006 12:34 394.500 perfh007.dat
13.07.2006 12:34 64.598 perfc007.dat
13.07.2006 12:34 906.552 PerfStringBackup.INI
13.07.2006 12:31 35.975 vsconfig.xml
11.07.2006 12:14 45 blue.SITENAME
11.07.2006 12:12 214.472 FNTCACHE.DAT
11.07.2006 10:29 2.278 wpa.dbl
15.06.2006 23:55 778.240 divx_xx07.dll
15.06.2006 23:55 778.240 divx_xx0c.dll
15.06.2006 23:55 761.856 divx_xx11.dll
15.06.2006 23:55 620.180 DivX.dll
14.06.2006 19:49 118.784 DivXCodecUpdateChecker.exe
13.06.2006 23:36 700.416 divxdec.ax
12.06.2006 21:22 4.276 divxsm.tlb
12.06.2006 21:22 520.192 DivXsm.exe
12.06.2006 21:22 15.507 dsm_de.qm
12.06.2006 21:22 10.863 dsm_ja.qm
12.06.2006 21:22 15.299 dsm_fr.qm
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
25.05.2006 00:48 421.888 pxdrv.dll
25.05.2006 00:48 109.568 pxinsi64.exe
25.05.2006 00:48 172.032 pxmas.dll
25.05.2006 00:48 372.736 px.dll
25.05.2006 00:48 61.440 pxhpinst.exe
25.05.2006 00:48 56.320 pxinsa64.exe
25.05.2006 00:48 339.968 pxwave.dll
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
25.05.2006 00:43 245.408 unicows.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
19.04.2006 02:04 12.288 DivXWMPExtType.dll
19.04.2006 02:04 8.523 dpude.qm
19.04.2006 02:04 3.136 dtu_de.qm
14.04.2006 16:22 4.212 zllictbl.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D032-B2C5

Verzeichnis von C:\WINDOWS

13.07.2006 12:39 1.679.517 WindowsUpdate.log
13.07.2006 12:31 0 0.log
13.07.2006 12:30 159 wiadebug.log
13.07.2006 12:30 50 wiaservc.log
13.07.2006 12:30 2.048 bootstat.dat
13.07.2006 12:30 32.642 SchedLgU.Txt
13.07.2006 10:34 25.895 MedCtrOC.log
13.07.2006 10:34 20.818 ehOCGen.log
13.07.2006 10:34 427.778 iis6.log
13.07.2006 10:34 133.427 comsetup.log
13.07.2006 10:34 1.374 imsins.log
13.07.2006 10:34 80.715 ntdtcsetup.log
13.07.2006 10:34 171.049 tsoc.log
13.07.2006 10:34 19.319 tabletoc.log
13.07.2006 10:34 19.993 ocmsn.log
13.07.2006 10:34 13.029 KB917159.log
13.07.2006 10:34 64.208 netfxocm.log
13.07.2006 10:34 180.808 ocgen.log
13.07.2006 10:34 45.207 plusoc.log
13.07.2006 10:34 18.051 msgsocm.log
13.07.2006 10:34 363.994 FaxSetup.log
13.07.2006 10:34 117.584 msmqinst.log
13.07.2006 10:34 1.374 imsins.BAK
13.07.2006 10:34 13.537 KB914388.log
13.07.2006 10:34 24.631 updspapi.log
13.07.2006 10:34 11.707 KB916595.log
13.07.2006 10:34 0 setupact.log
13.07.2006 10:34 0 setuperr.log
12.07.2006 22:18 477.820 setupapi.log
12.07.2006 14:46 1.194 VFO.INI
12.07.2006 14:14 1.106 attach.log
11.07.2006 23:01 116 NeroDigital.ini
11.07.2006 22:26 60.416 ALCFDRTM.VER
11.07.2006 12:16 455 VFO.VST
11.07.2006 11:59 20.763 wmsetup.log
11.07.2006 11:44 37 install_Studio10.log
11.07.2006 10:30 225 DHCPUPG.LOG
11.07.2006 10:30 439 WINNT32.LOG
18.06.2006 21:12 2.737 spupdsvc.log
18.06.2006 20:29 8.891 KB917734.log
18.06.2006 20:28 14.880 KB918439.log
18.06.2006 20:28 15.242 KB917344.log
18.06.2006 20:28 18.454 KB917953.log
18.06.2006 20:28 15.490 KB911280.log
18.06.2006 20:28 18.756 KB916281.log
18.06.2006 20:28 12.760 KB914389.log
23.05.2006 19:16 357 wiso.ini
23.05.2006 17:01 214 BUHL.INI
15.05.2006 22:45 19.490 DirectX.log
10.05.2006 13:06 13.074 KB913580.log
26.04.2006 06:49 12.429 KB900485.log
19.04.2006 02:25 22.230 KB908531.log
19.04.2006 02:25 15.295 KB911562.log
19.04.2006 02:24 18.570 KB912812.log
19.04.2006 02:24 9.768 KB911565.log
19.04.2006 02:24 15.307 KB911567.log
10.04.2006 08:09 758 win.ini
10.04.2006 08:09 227 system.ini
15.02.2006 00:20 11.685 KB911927.log
15.02.2006 00:20 4.659 KB911564.log
15.02.2006 00:19 13.519 KB913446.log
13.02.2006 22:35 151 PhotoSnapViewer.INI
23.01.2006 15:36 429 datFind.bat
12.01.2006 08:30 10.962 KB908519.log
06.01.2006 05:19 11.850 KB912919.log


Verzeichnis von C:\DOKUME~1\ADMINI~1.WIN\LOKALE~1\Temp

13.07.2006 15:08 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23992.html
13.07.2006 15:07 512 ~DFD9B.tmp
13.07.2006 15:07 16.384 ~DFBB9.tmp
13.07.2006 15:07 512 ~DF8D5.tmp
13.07.2006 15:07 16.384 ~DF765.tmp
13.07.2006 15:07 512 ~DF4EB.tmp
13.07.2006 15:07 16.384 ~DF498.tmp
13.07.2006 15:07 512 ~DF219.tmp
13.07.2006 15:07 16.384 ~DFDB.tmp
13.07.2006 15:06 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}29307.html
13.07.2006 12:34 16.384 ~DF5380.tmp
13.07.2006 12:34 512 ~DF3B93.tmp
11.07.2006 10:45 0 xx2
11.07.2006 10:45 0 xx4
11.07.2006 10:45 0 xx3
11.07.2006 10:45 0 xx5
11.07.2006 10:45 0 xx6
11.07.2006 10:44 11.648 java_install_reg.log
11.07.2006 10:36 16.384 ~DFB47E.tmp
11.07.2006 10:36 16.384 ~DFA025.tmp
11.07.2006 10:35 16.384 ~DF4A4D.tmp


edit

#14 Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

(dazu solltest du alle offenen Anwendungen schliessen, sonst dauert es zu lange.)

ansonsten, es sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 alles gemacht dank dir nochmal für die schnelle Hilfe