Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX.. |
||
---|---|---|
#0
| ||
20.07.2006, 20:29
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.07.2006, 00:43
Member
Beiträge: 23 |
#47
Hi Sabina,
zu1. Systemwiederherstellung ist und war deaktiviert. Seltsam, daß Du zu einem anderen Schluß kommst. zu2. 1 gemacht 2 kommt nicht 3 folglich auch nicht 4 Anleitung? keine richtige gesehen, nur daß man activeX zulassen soll... accept ging unter lizenz... 5 full system scan gestartet dauert lange, muß man dazu online sein? habe Angst, daß da was neues reinschlüpft, wenn ich lange online bleibe. Den Rest arbeite ich heute Nacht noch ab. Danke, Gruß, Uli weiter geht es: mit dem report von f-secure Scanning Report Friday, July 21, 2006 00:34:20 - 01:02:11 Computer name: ASTERIX Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ D:\ E:\ F:\ -------------------------------------------------------------------------------- Result: 8 malware found Adware.Toolband (spyware) System (Disinfected) Possible Browser Hijack attempt (spyware) System (Disinfected) Stealth_file (hidden item) C:\WINDOWS\SYSTEM32\CSNKI.EXE Tracking Cookie (spyware) System (Disinfected) System W32/Agent.GWI (virus) C:\WINDOWS\SYSTEM32\{6641216E-A5A3-4301-B711-461F54B7A7E3}.EXE W32/Malware (virus) C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\MESSENGER\CLEAN.EXE Windows (spyware) System (Disinfected) -------------------------------------------------------------------------------- Statistics Scanned: Files: 23578 System: 5022 Not scanned: 338 Actions: Disinfected: 4 Renamed: 0 Deleted: 0 None: 4 Submitted: 0 Files not scanned: ð–ãxãIBERFIL.SYS C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{33D2E5A4-C372-43C2-AFAA-D7F50459E8CC}.BIN C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{BB2D00CD-6B2A-411A-86B2-D7A1C352907F}.BIN C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\NTUSER.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\VORLAGEN\EXCEL.XLS C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\USERDATA\HZB3X9SE\OXMLSTOREUNIT[1].XML C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\USERDATA\A1LIZ69O\OWINDOWSUPDATE[1].XML C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\ADRESSBUCH.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\UNTERHALTUNGSMEDIEN\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\EINGABEHILFEN\BILDSCHIRMLUPE.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\TERZIO\LZ ADVENTSKALENDER\LZ ADVENTSKALENDER DEINSTALLIEREN.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\EMME\DEINSTALLIEREN 'DER REGENBOGENFISCH 2'.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\COKTEL\ADDY JUNIOR\3D KONFIGURATION.EXE C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\AUTOSTART\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\SENDTO\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\RECENT\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\VERLAUF\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\VERLAUF\HISTORY.IE5\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\TG8F1BL9\BUTTONFORM[1].JS C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\N1LMMA6C\ONVERSION[2].HTM C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\DS2GMDXX\BUTTONFORM[1].JS C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\38OSCHEE\COMMON[1].JS C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMP\DSLMUPDATE.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\POWERCINEMA\DTVFREQDB4USER C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS MEDIA\9.0\WMSDKNS.XML C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS MEDIA\10.0\WMSDKNS.XML C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\APPLICATIONHISTORY\EZANTIVIRUSMOREINFO.EXE.4EBE9212.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\FAVORITEN\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE VIDEOS\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE TABELLEN\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE MUSIK\BEISPIELMUSIK.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE MUSIK\ITUNES\ITUNES MUSIC LIBRARY.XML C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE DOKUMENTE\DESKTOP.INI C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE BILDER\BEISPIELBILDER.LNK C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\DESKTOP\GOOGLEEARTHWIN.EXE C:\DOKUMENTE GENˆ -------------------------------------------------------------------------------- Options Scanning engines: F-Secure AVP: 6.0.171, 2006-07-20 F-Secure Libra: 2.4.1, 2006-07-20 F-Secure Orion: 1.2.37, 2006-07-20 F-Secure Blacklight: 1.0.31, 0000-00-00 F-Secure Pegasus: 1.19.0, 2006-06-05 F-Secure Draco: 1.0.35, 2006-07-18 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics Dieser Beitrag wurde am 21.07.2006 um 01:02 Uhr von Uli B editiert.
|
|
|
||
21.07.2006, 01:23
Ehrenmitglied
Beiträge: 29434 |
#48
Uli B
poste das neue Log vom HijackThis (nicht vergessen, vorher die 017-Eintraege zu fixen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 02:56
Member
Beiträge: 23 |
#49
hier kommen erst die Schritte 3 und 4, dann hijackthis log aus eingeschränktem Account, damit es schnell geht.
Gehe dann zu rootkitrevealer, hijackthis und silentrunner wie oben gewünscht. Gruß, Uli zu3. Es gibt keine Datei (auf dem ganzen mir zugänglichen Rechner) gzuwg.exe zu4. --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 02:28:26 21.07.2006 + Scan-Ergebnis: C:\avenger\backup.zip/avenger/{2C92605F-050A-421F-B553-9D2FAF89C5A2}.exe -> Adware.Msnagent : Gesäubert. C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/{F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe -> Adware.Raze : Gesäubert. C:\avenger\backup.zip/avenger/csvrv.exe -> Downloader.Agent.uj : Gesäubert. [1020] VM_008B0000 -> Downloader.Agent.uj : Fehler während der Säuberung. [1040] VM_008B0000 -> Downloader.Agent.uj : Fehler während der Säuberung. [188] VM_00D60000 -> Downloader.Agent.uj : Fehler während der Säuberung. [212] VM_00C80000 -> Downloader.Agent.uj : Fehler während der Säuberung. [796] VM_009E0000 -> Downloader.Agent.uj : Fehler während der Säuberung. C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/desktop.html -> Not-A-Virus.Hoax.Win32.Aflac.a : Gesäubert. C:\avenger\backup.zip/avenger/DMDMO.EXE -> Trojan.Small.fb : Gesäubert. ::Berichtende "4. scanne noch mal mit ewido (Im abgesicherten Modus ...aber auch loeschen lassen !) dann fixe , ebenfalls im abgesicherten modus die 017-Eintraege im HijackTHis) + O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) " ewido gemacht, siehe oben 017 gefixt die beiden anderen gibt es nicht, siehe Ausschnitt von hijackthis log: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKL Logfile of HijackThis v1.99.1 Scan saved at 02:56:50, on 21.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 13 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe zu 5 rootkitrevealer log HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Enum 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Linkage 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{02AAC974-4769-45F2-8919-A7BD10759938} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{41A97F47-FBAF-462B-A52E-E80249666B3E} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{4D055955-BC20-4AA0-A84B-C08EFA46EC1D} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{75A97163-E50C-45E0-B21D-B530BB2A3D29} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{DF3B5496-6DBF-4808-8210-28F546C7F661} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{E303D746-0B45-4B71-A55A-C89373720B66} 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat\ActivationSecurityCheckExemptionList 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\NONREDIST 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 05.04.2005 23:26 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 05.04.2005 23:26 0 bytes Security mismatch. hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 03:25:14, on 21.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Dokumente und Einstellungen\All Users\Dokumente\www\revealer\RootkitRevealer.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\XSP.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 14 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: XSP - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Surfen\LOKALE~1\Temp\XSP.exe silentrunner Es geht ein Fenster auf (Windows Script Host) in dem steht: Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen. Ich weiß nicht, was das bedeutet. Kannst Du weiter helfen? Danke, Gruß, Uli Dieser Beitrag wurde am 21.07.2006 um 03:39 Uhr von Uli B editiert.
|
|
|
||
21.07.2006, 15:43
...neu hier
Beiträge: 2 |
#50
Hallo! habe letzendlich geschafft das problem zu lösen! bei mir Befanden sich die hauptviren im arbeitsspeicher! diese hab ich mit ewido gefunden dieser konnte diese jedoch nicht entfernen! dann habe ich z-defrag genommen und diese einträge die sich als explorer.exe und iexplorer.exe getarnt hatten enfernt! Danach alle "Kinder" dieser beiden Viren beseitigt, Spuren gereinigt etc. mit den üblichen programmen adware, spybot, antivir etc... pp
|
|
|
||
21.07.2006, 16:45
Ehrenmitglied
Beiträge: 29434 |
#51
Uli B
0. poste das log von winpfind http://virus-protect.org/winpfind.html 1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. scanne mit kaspersky und poste den scanreport + das neue Log vom HijackThis http://virus-protect.org/onlinescan.html (vegen dem Host, mache dir keine Sorgen, wenn er blockiert ist, dann bedeutet es, dass er sicher ist) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 21:34
Member
Beiträge: 23 |
#52
Hallo Sabina,
wenn ich winpfind starte, bringt antivir die Virusmeldung: HEUR/Hijacker. Wenn ich den lösche, dann passiert nichts. Was soll ich tun? zu 1.) ich habe das wirklich angehakt. Seit Du es das erste mal haben wolltest. Seltsam, daß Du anderer Meinung bist. zu 2) kann ich als admin im Netz kapersky laufen lassen? ich ahbe es gelesen, ich muß als admin downloaden... Danke, Gruß, Uli Dieser Beitrag wurde am 21.07.2006 um 21:44 Uhr von Uli B editiert.
|
|
|
||
21.07.2006, 21:55
Ehrenmitglied
Beiträge: 29434 |
#53
wen der Antivirus bei winpfind diese Meldung bringt, so waehle die option "ignorieren"..aber bringe es zum laufen !
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 22:23
Member
Beiträge: 23 |
#54
Hier winpfind,
kaspersky kommt, sobald er fertig ist. Danke, Gruß, Uli WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 04.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc PEC2 01.10.2004 20:23:10 716800 C:\WINDOWS\SYSTEM32\DivX.dll PECompact2 01.10.2004 20:23:10 716800 C:\WINDOWS\SYSTEM32\DivX.dll PTech 17.05.2006 11:23:38 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll aspack 06.07.2006 18:21:48 6757792 C:\WINDOWS\SYSTEM32\MRT.exe aspack 04.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 04.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 04.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... PEC2 05.11.2004 12:39:00 82148 C:\WINDOWS\SYSTEM32\drivers\VcommMgr.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 21.07.2006 21:31:16 S 2048 C:\WINDOWS\bootstat.dat 11.07.2006 22:30:38 H 54156 C:\WINDOWS\QTFont.qfn 15.07.2006 00:53:10 H 0 C:\WINDOWS\inf\oem26.inf 21.07.2006 21:57:54 H 0 C:\WINDOWS\LastGood\INF\oem27.inf 21.07.2006 21:57:54 H 0 C:\WINDOWS\LastGood\INF\oem27.PNF 21.07.2006 21:59:22 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\09a5679abc8f910f48af2100a235af8d\BITD.tmp 21.07.2006 22:04:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0a4eefb808166b9b72f7032381233e23\BITD.tmp 21.07.2006 21:58:12 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0bbefc09b675eaee969594c8bc669a65\BITB.tmp 21.07.2006 22:02:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e9d7ef839ea56fc926b8136417fb220\BIT10.tmp 21.07.2006 21:59:58 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\25bf6aaebb49ca999c92078ffe7dbbad\BITE.tmp 21.07.2006 21:56:50 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c29d324d8d5dca387bd9613a4f73199\BIT17.tmp 21.07.2006 21:57:16 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30dfb73b62f250adf31f035f47923ef7\BIT18.tmp 21.07.2006 21:55:34 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30fa91459ab9a3ad7f972ab6112bef1f\BIT8.tmp 21.07.2006 22:14:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\312e2c74d329dd6518a2be72e3caf9aa\BIT11.tmp 21.07.2006 22:16:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4d96fdb57d3e1bf280465f42abc8d228\BIT14.tmp 21.07.2006 21:58:38 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65098110faf2de9c0f49832920c97785\BITC.tmp 21.07.2006 21:56:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\78fb0afae71c3fac4060f44f34c7d09a\BIT16.tmp 21.07.2006 22:06:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a208ada979ead07bc2916f0eee40920\BIT11.tmp 21.07.2006 22:17:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a7fe7b11be70da6f632be917ee14b87\BIT7.tmp 21.07.2006 22:07:48 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8a65857b57a9f08f01ecba44dc12aa2a\BIT13.tmp 21.07.2006 21:56:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\913ddebcfd87b3d3ab85fc17fc0d21c1\BIT9.tmp 21.07.2006 22:07:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9402213235eb5e3ad6f2e4593ea3f4f4\BIT12.tmp 21.07.2006 22:03:06 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\964bc21a7c64a53168a44dd4ffbb9091\BITC.tmp 21.07.2006 21:57:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b258182f718cafd6d76ff787a561afaf\BITA.tmp 21.07.2006 22:00:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bc2e9a7597099ea5db29ba3536794f11\BITF.tmp 19.07.2006 00:06:52 H 4877355 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\cc0c0673a454e095fa3be4b30dfa4f07\BIT12.tmp 21.07.2006 22:13:54 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d14c4d9cc2263902c7f193a5c0def7ed\BIT15.tmp 21.07.2006 22:08:34 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\db6f0786b0bf0a65606d1e5fa5063631\BIT14.tmp 21.07.2006 22:05:20 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5e799082d9eb6cb1306226c2e601fa8\BITF.tmp 29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat 21.07.2006 21:50:12 H 1024 C:\WINDOWS\system32\config\default.LOG 21.07.2006 21:49:46 H 1024 C:\WINDOWS\system32\config\SAM.LOG 21.07.2006 21:32:46 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 21.07.2006 22:17:16 H 12288 C:\WINDOWS\system32\config\software.LOG 21.07.2006 22:17:18 H 8192 C:\WINDOWS\system32\config\system.LOG 15.07.2006 00:15:46 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG 19.07.2006 00:06:26 S 688 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5 19.07.2006 00:06:28 S 70226 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\F482C95F83F1B59228F1B1E720F2EDF1 19.07.2006 00:06:26 S 94 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5 19.07.2006 00:06:28 S 128 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\F482C95F83F1B59228F1B1E720F2EDF1 03.07.2006 11:37:54 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\3aef2336-3b05-4086-9b46-60c9c9300262 03.07.2006 11:37:54 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred 03.07.2006 11:47:00 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\99d710a3-4505-40b1-8929-a124c7d4312a 03.07.2006 11:47:00 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred Checking for CPL files... Microsoft Corporation 04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl 12.11.1999 06:11:00 184832 C:\WINDOWS\SYSTEM32\bdeadmin.cpl Microsoft Corporation 04.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl DataDesign AG 02.09.2004 10:02:34 679936 C:\WINDOWS\SYSTEM32\ddbaccpl.cpl DataDesign AG 02.09.2004 10:06:24 176128 C:\WINDOWS\SYSTEM32\ddbacctm.cpl Microsoft Corporation 04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 04.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl Sun Microsystems, Inc. 06.12.2004 22:31:48 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl Microsoft Corporation 04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl Microsoft Corporation 04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl Microsoft Corporation 04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl Microsoft Corporation 04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl Microsoft Corporation 04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl Microsoft Corporation 04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl Microsoft Corporation 04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl Microsoft Corporation 04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl Microsoft Corporation 04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl Microsoft Corporation 04.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl Microsoft Corporation 04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl Microsoft Corporation 04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Microsoft Corporation 04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl Microsoft Corporation 04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl Socket Communications Inc. 04.08.2003 15:05:00 73728 C:\WINDOWS\SYSTEM32\drivers\SCBaud.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 26.01.2005 22:11:16 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini 25.06.2005 12:41:14 751 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk 25.06.2005 12:31:58 751 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... 19.02.2006 10:03:40 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html 26.01.2005 22:05:06 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini 25.06.2005 12:41:06 191 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log Checking files in %USERPROFILE%\Startup folder... 26.01.2005 22:11:16 HS 84 C:\Dokumente und Einstellungen\Surfen\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 26.01.2005 22:05:06 HS 62 C:\Dokumente und Einstellungen\Surfen\Anwendungsdaten\desktop.ini 13.07.2006 00:47:04 36674 C:\Dokumente und Einstellungen\Surfen\Anwendungsdaten\wklnhst.dat »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware {8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "C:\Programme\TuneUp Utilities 2006\sdshelex.dll" HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{321CF1F6-A729-4033-91B6-50D51737BC1C} = C:\Programme\T-Online\T-Online_Software_6\Banking\HbDokMan.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware {8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "C:\Programme\TuneUp Utilities 2006\sdshelex.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7} Google Toolbar Helper = c:\programme\google\googletoolbar2.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B205A35E-1FC4-4CE3-818B-899DBBB3388C} MenuText = : [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\system32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer-Band = %SystemRoot%\system32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {08BEC6AA-49FC-4379-3587-4B21E286C19E} = : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll {08BEC6AA-49FC-4379-3587-4B21E286C19E} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe Dit Dit.exe Verknüpfung mit der High Definition Audio-Eigenschaftenseite HDAudPropShortcut.exe Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd AGRSMMSG AGRSMMSG.exe Keyboard Status C:\PROGRA~1\Medion\KeyStat\KeyStat.exe NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe RemoteControl "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" PCMService "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min KernelFaultCheck %systemroot%\system32\dumprep 0 -k iTunesHelper "C:\Programme\iTunes\iTunesHelper.exe" QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui T-Online DSL-Manager "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" ToADiMon.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart !ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized !ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime InfoCockpit C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 1 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoBandCustomize 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableRegistryTools 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent = Ati2evxx.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 21.07.2006 22:17:22 |
|
|
||
21.07.2006, 22:26
Ehrenmitglied
Beiträge: 29434 |
#55
Gehe in die Registry
Start - Ausfuehren - regedit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoBandCustomize <--loeschen HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableRegistryTools <--loeschen PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2006, 22:32
Member
Beiträge: 23 |
#56
kaspersky läuft noch, soll ich den abbrechen, und in die Registry gehen, oder erst Kaspersky abwarten?
Danke, Uli hier der erste Teil von kaspersky, ich werde ihn dann anhalten, die regedit Befehle machen, dann hijackthis laufen lassen und dann kaspersky wieder starten, während ich drauf warte, daß Du Dich wieder meiner annimmst. Gruß, Uli KASPERSKY ONLINE SCANNER REPORT Friday, July 21, 2006 10:36:24 PM Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky Online Scanner version: 5.0.83.0 Kaspersky Anti-Virus database last update: 21/07/2006 Kaspersky Anti-Virus database records: 196492 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target Critical Areas C:\WINDOWS C:\DOKUME~1\Surfen\LOKALE~1\Temp\ Scan Statistics Total number of scanned objects 19894 Number of viruses found 0 Number of infected objects 0 / 0 Number of suspicious objects 0 Duration of the scan process 00:09:26 Infected Object Name Virus Name Last Action C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped C:\WINDOWS\Sti_Trace.log Object is locked skipped C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\default Object is locked skipped C:\WINDOWS\system32\config\default.LOG Object is locked skipped C:\WINDOWS\system32\config\SAM Object is locked skipped C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\SECURITY Object is locked skipped C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped C:\WINDOWS\system32\config\software Object is locked skipped C:\WINDOWS\system32\config\software.LOG Object is locked skipped C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped C:\WINDOWS\system32\config\system Object is locked skipped C:\WINDOWS\system32\config\system.LOG Object is locked skipped C:\WINDOWS\system32\h323log.txt Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped C:\WINDOWS\wiadebug.log Object is locked skipped C:\WINDOWS\wiaservc.log Object is locked skipped C:\WINDOWS\WindowsUpdate.log Object is locked skipped C:\DOKUME~1\Surfen\LOKALE~1\Temp\~DFBBA3.tmp Object is locked skipped Scan process completed. Dieser Beitrag wurde am 21.07.2006 um 22:45 Uhr von Uli B editiert.
|
|
|
||
21.07.2006, 22:44
Ehrenmitglied
Beiträge: 29434 |
#57
warte natuerlich erst mal den kaspersky ab
+ poste dann auch noch mal das neue Log vom HijackThis (ich will sehen, ob die 017-Eintraege zurueckgekommen sind) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 22:24
Member
Beiträge: 23 |
#58
Entschuldigung, war zwei Tage weg. Jetzt mache ich weiter.
Der "kaspersky" vom 21.7. 22:36 Uhr oben ist nach klick auf folgende Zeilen entstanden: Critical Areas scan critical areas of your hard disks specified in %windir% and %tmp% system variables Der text log, der nach folgendem scan entstanden ist, ist 9,7 MB groß. Soll ich den wirklich hier posten? My Computer scan all your hard and mapped disks My Email scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS Scanne jetzt noch mit kaspersky die email dateien. hier der log: KASPERSKY ONLINE SCANNER REPORT Sunday, July 23, 2006 10:33:29 PM Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky Online Scanner version: 5.0.83.0 Kaspersky Anti-Virus database last update: 23/07/2006 Kaspersky Anti-Virus database records: 196882 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target My Email C:\ D:\ E:\ F:\ Scan Statistics Total number of scanned objects 78 Number of viruses found 0 Number of infected objects 0 / 0 Number of suspicious objects 0 Duration of the scan process 00:01:24 Infected Object Name Virus Name Last Action C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Entwürfe.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gesendete Objekte.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot101.msg Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot102.msg Object is locked skipped C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot103.msg Object is locked skipped C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Pop3uidl.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped Scan process completed. hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 22:37:40, on 23.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\T-Online\T-Online_Software_6\Browser\Browser.exe C:\WINDOWS\system32\notepad.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 15 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 192.168.2.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Zitat: "Gehe in die Registry Start - Ausfuehren - regedit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoBandCustomize <--loeschen HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableRegistryTools <--loeschen PC neustarten" Nach Neustart ist erste Datei weg, aber die disableregistrytools ist wieder gekommen. Werde sie jetzt nochmal löschen, und dann nochmal den hijackthis laufen lassen und posten. Gruß, Uli Dieser Beitrag wurde am 23.07.2006 um 22:57 Uhr von Uli B editiert.
|
|
|
||
23.07.2006, 23:10
Ehrenmitglied
Beiträge: 29434 |
#59
wenn die DisableRegistryTools raus ist, oder wenigstens auf 0 , dann ist wieder alles o.k.
der 017-Eintrag ist auch in Ordnung --------- scanne noch mal mit ewido (im abgesicherten modus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 23:23
Member
Beiträge: 23 |
#60
der wert ist 0x00000000(0)
Bin ich auch den ukrainischen Server los? Es ist noch eine Kleinigkeit geblieben: Der Bildschirmhintergrund ist weiß. Es scheint, da liegt eine weiße Fläche auf dem eigentlichen Bild (Sanddüne). und der active desktop läßt sich nicht anklicken. Das ist so, seit dankenswerterweise der rote Alarm und die spyware raze "Werbung" verschwunden ist. Ich gehe recht in der Annahme, daß die 9,7 MB kaspersky hier nicht gebraucht werden? Der ewido scan log kommt, sobald er fertig ist. Einstweilen vielen Dank. Gruß, Uli |
|
|
||
1.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten
2.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten
3.
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html
4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina
rund um die PC-Sicherheit