Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX..

#46 alpha9191

1.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten

2.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten

3.
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Hi Sabina,
zu1. Systemwiederherstellung ist und war deaktiviert. Seltsam, daß Du zu einem anderen Schluß kommst.

zu2. 1 gemacht
2 kommt nicht
3 folglich auch nicht
4 Anleitung? keine richtige gesehen, nur daß man activeX zulassen soll... accept ging unter lizenz...
5 full system scan gestartet

dauert lange, muß man dazu online sein? habe Angst, daß da was neues reinschlüpft, wenn ich lange online bleibe.

Den Rest arbeite ich heute Nacht noch ab.
Danke,
Gruß,
Uli

weiter geht es:
mit dem report von f-secure

Scanning Report
Friday, July 21, 2006 00:34:20 - 01:02:11
Computer name: ASTERIX
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\ F:\


--------------------------------------------------------------------------------

Result: 8 malware found
Adware.Toolband (spyware)
System (Disinfected)
Possible Browser Hijack attempt (spyware)
System (Disinfected)
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSNKI.EXE
Tracking Cookie (spyware)
System (Disinfected)
System
W32/Agent.GWI (virus)
C:\WINDOWS\SYSTEM32\{6641216E-A5A3-4301-B711-461F54B7A7E3}.EXE
W32/Malware (virus)
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\MESSENGER\CLEAN.EXE
Windows (spyware)
System (Disinfected)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 23578
System: 5022
Not scanned: 338
Actions:
Disinfected: 4
Renamed: 0
Deleted: 0
None: 4
Submitted: 0
Files not scanned:
ð–ãx
ãIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{33D2E5A4-C372-43C2-AFAA-D7F50459E8CC}.BIN
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{BB2D00CD-6B2A-411A-86B2-D7A1C352907F}.BIN
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\NTUSER.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\VORLAGEN\EXCEL.XLS
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\USERDATA\HZB3X9SE\OXMLSTOREUNIT[1].XML
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\USERDATA\A1LIZ69O\OWINDOWSUPDATE[1].XML
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\ADRESSBUCH.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\UNTERHALTUNGSMEDIEN\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\ZUBEHöR\EINGABEHILFEN\BILDSCHIRMLUPE.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\TERZIO\LZ ADVENTSKALENDER\LZ ADVENTSKALENDER DEINSTALLIEREN.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\EMME\DEINSTALLIEREN 'DER REGENBOGENFISCH 2'.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\COKTEL\ADDY JUNIOR\3D KONFIGURATION.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\STARTMENü\PROGRAMME\AUTOSTART\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\SENDTO\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\RECENT\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\VERLAUF\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\VERLAUF\HISTORY.IE5\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\TG8F1BL9\BUTTONFORM[1].JS
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\N1LMMA6C\ONVERSION[2].HTM
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\DS2GMDXX\BUTTONFORM[1].JS
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\38OSCHEE\COMMON[1].JS
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\TEMP\DSLMUPDATE.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\POWERCINEMA\DTVFREQDB4USER
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS MEDIA\9.0\WMSDKNS.XML
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS MEDIA\10.0\WMSDKNS.XML
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\APPLICATIONHISTORY\EZANTIVIRUSMOREINFO.EXE.4EBE9212.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\FAVORITEN\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE VIDEOS\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE TABELLEN\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE MUSIK\BEISPIELMUSIK.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE MUSIK\ITUNES\ITUNES MUSIC LIBRARY.XML
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE DOKUMENTE\DESKTOP.INI
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\EIGENE DATEIEN\EIGENE BILDER\BEISPIELBILDER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ROOT\DESKTOP\GOOGLEEARTHWIN.EXE
C:\DOKUMENTE GENˆ

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-07-20
F-Secure Libra: 2.4.1, 2006-07-20
F-Secure Orion: 1.2.37, 2006-07-20
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-06-05
F-Secure Draco: 1.0.35, 2006-07-18
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

#48 Uli B

poste das neue Log vom HijackThis (nicht vergessen, vorher die 017-Eintraege zu fixen)
__________
MfG Sabina

rund um die PC-Sicherheit

#49 hier kommen erst die Schritte 3 und 4, dann hijackthis log aus eingeschränktem Account, damit es schnell geht.
Gehe dann zu rootkitrevealer, hijackthis und silentrunner wie oben gewünscht.
Gruß,
Uli



zu3. Es gibt keine Datei (auf dem ganzen mir zugänglichen Rechner) gzuwg.exe

zu4.
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 02:28:26 21.07.2006

+ Scan-Ergebnis:



C:\avenger\backup.zip/avenger/{2C92605F-050A-421F-B553-9D2FAF89C5A2}.exe -> Adware.Msnagent : Gesäubert.
C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/{F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe -> Adware.Raze : Gesäubert.
C:\avenger\backup.zip/avenger/csvrv.exe -> Downloader.Agent.uj : Gesäubert.
[1020] VM_008B0000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[1040] VM_008B0000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[188] VM_00D60000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[212] VM_00C80000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[796] VM_009E0000 -> Downloader.Agent.uj : Fehler während der Säuberung.
C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/desktop.html -> Not-A-Virus.Hoax.Win32.Aflac.a : Gesäubert.
C:\avenger\backup.zip/avenger/DMDMO.EXE -> Trojan.Small.fb : Gesäubert.


::Berichtende


"4.
scanne noch mal mit ewido (Im abgesicherten Modus ...aber auch loeschen lassen !)
dann fixe , ebenfalls im abgesicherten modus die 017-Eintraege im HijackTHis)
+
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
"
ewido gemacht, siehe oben
017 gefixt
die beiden anderen gibt es nicht, siehe Ausschnitt von hijackthis log:


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKL


Logfile of HijackThis v1.99.1
Scan saved at 02:56:50, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 13 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


zu 5
rootkitrevealer log
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Enum 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Linkage 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{02AAC974-4769-45F2-8919-A7BD10759938} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{41A97F47-FBAF-462B-A52E-E80249666B3E} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{4D055955-BC20-4AA0-A84B-C08EFA46EC1D} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{75A97163-E50C-45E0-B21D-B530BB2A3D29} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{DF3B5496-6DBF-4808-8210-28F546C7F661} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\NetBT\Parameters\Interfaces\Tcpip_{E303D746-0B45-4B71-A55A-C89373720B66} 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat\ActivationSecurityCheckExemptionList 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\NONREDIST 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 05.04.2005 23:26 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 05.04.2005 23:26 0 bytes Security mismatch.




hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 03:25:14, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\www\revealer\RootkitRevealer.exe
C:\DOKUME~1\Surfen\LOKALE~1\Temp\XSP.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 14 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: XSP - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Surfen\LOKALE~1\Temp\XSP.exe



silentrunner

Es geht ein Fenster auf (Windows Script Host) in dem steht:
Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.

Ich weiß nicht, was das bedeutet.

Kannst Du weiter helfen?
Danke,
Gruß,
Uli

#50 Hallo! habe letzendlich geschafft das problem zu lösen! bei mir Befanden sich die hauptviren im arbeitsspeicher! diese hab ich mit ewido gefunden dieser konnte diese jedoch nicht entfernen! dann habe ich z-defrag genommen und diese einträge die sich als explorer.exe und iexplorer.exe getarnt hatten enfernt! Danach alle "Kinder" dieser beiden Viren beseitigt, Spuren gereinigt etc. mit den üblichen programmen adware, spybot, antivir etc... pp

#51 Uli B

0.
poste das log von winpfind
http://virus-protect.org/winpfind.html

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit kaspersky und poste den scanreport + das neue Log vom HijackThis
http://virus-protect.org/onlinescan.html

(vegen dem Host, mache dir keine Sorgen, wenn er blockiert ist, dann bedeutet es, dass er sicher ist)
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Hallo Sabina,
wenn ich winpfind starte, bringt antivir die Virusmeldung: HEUR/Hijacker. Wenn ich den lösche, dann passiert nichts. Was soll ich tun?

zu 1.) ich habe das wirklich angehakt. Seit Du es das erste mal haben wolltest. Seltsam, daß Du anderer Meinung bist.

zu 2) kann ich als admin im Netz kapersky laufen lassen? ich ahbe es gelesen, ich muß als admin downloaden...
Danke,
Gruß,
Uli

#53 wen der Antivirus bei winpfind diese Meldung bringt, so waehle die option "ignorieren"..aber bringe es zum laufen !
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Hier winpfind,
kaspersky kommt, sobald er fertig ist.
Danke,
Gruß,
Uli


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 04.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 01.10.2004 20:23:10 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 01.10.2004 20:23:10 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PTech 17.05.2006 11:23:38 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
aspack 06.07.2006 18:21:48 6757792 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 04.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PEC2 05.11.2004 12:39:00 82148 C:\WINDOWS\SYSTEM32\drivers\VcommMgr.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
21.07.2006 21:31:16 S 2048 C:\WINDOWS\bootstat.dat
11.07.2006 22:30:38 H 54156 C:\WINDOWS\QTFont.qfn
15.07.2006 00:53:10 H 0 C:\WINDOWS\inf\oem26.inf
21.07.2006 21:57:54 H 0 C:\WINDOWS\LastGood\INF\oem27.inf
21.07.2006 21:57:54 H 0 C:\WINDOWS\LastGood\INF\oem27.PNF
21.07.2006 21:59:22 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\09a5679abc8f910f48af2100a235af8d\BITD.tmp
21.07.2006 22:04:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0a4eefb808166b9b72f7032381233e23\BITD.tmp
21.07.2006 21:58:12 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0bbefc09b675eaee969594c8bc669a65\BITB.tmp
21.07.2006 22:02:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e9d7ef839ea56fc926b8136417fb220\BIT10.tmp
21.07.2006 21:59:58 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\25bf6aaebb49ca999c92078ffe7dbbad\BITE.tmp
21.07.2006 21:56:50 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c29d324d8d5dca387bd9613a4f73199\BIT17.tmp
21.07.2006 21:57:16 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30dfb73b62f250adf31f035f47923ef7\BIT18.tmp
21.07.2006 21:55:34 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30fa91459ab9a3ad7f972ab6112bef1f\BIT8.tmp
21.07.2006 22:14:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\312e2c74d329dd6518a2be72e3caf9aa\BIT11.tmp
21.07.2006 22:16:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4d96fdb57d3e1bf280465f42abc8d228\BIT14.tmp
21.07.2006 21:58:38 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65098110faf2de9c0f49832920c97785\BITC.tmp
21.07.2006 21:56:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\78fb0afae71c3fac4060f44f34c7d09a\BIT16.tmp
21.07.2006 22:06:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a208ada979ead07bc2916f0eee40920\BIT11.tmp
21.07.2006 22:17:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a7fe7b11be70da6f632be917ee14b87\BIT7.tmp
21.07.2006 22:07:48 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8a65857b57a9f08f01ecba44dc12aa2a\BIT13.tmp
21.07.2006 21:56:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\913ddebcfd87b3d3ab85fc17fc0d21c1\BIT9.tmp
21.07.2006 22:07:00 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9402213235eb5e3ad6f2e4593ea3f4f4\BIT12.tmp
21.07.2006 22:03:06 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\964bc21a7c64a53168a44dd4ffbb9091\BITC.tmp
21.07.2006 21:57:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b258182f718cafd6d76ff787a561afaf\BITA.tmp
21.07.2006 22:00:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bc2e9a7597099ea5db29ba3536794f11\BITF.tmp
19.07.2006 00:06:52 H 4877355 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\cc0c0673a454e095fa3be4b30dfa4f07\BIT12.tmp
21.07.2006 22:13:54 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d14c4d9cc2263902c7f193a5c0def7ed\BIT15.tmp
21.07.2006 22:08:34 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\db6f0786b0bf0a65606d1e5fa5063631\BIT14.tmp
21.07.2006 22:05:20 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5e799082d9eb6cb1306226c2e601fa8\BITF.tmp
29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat
21.07.2006 21:50:12 H 1024 C:\WINDOWS\system32\config\default.LOG
21.07.2006 21:49:46 H 1024 C:\WINDOWS\system32\config\SAM.LOG
21.07.2006 21:32:46 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
21.07.2006 22:17:16 H 12288 C:\WINDOWS\system32\config\software.LOG
21.07.2006 22:17:18 H 8192 C:\WINDOWS\system32\config\system.LOG
15.07.2006 00:15:46 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
19.07.2006 00:06:26 S 688 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
19.07.2006 00:06:28 S 70226 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\F482C95F83F1B59228F1B1E720F2EDF1
19.07.2006 00:06:26 S 94 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
19.07.2006 00:06:28 S 128 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\F482C95F83F1B59228F1B1E720F2EDF1
03.07.2006 11:37:54 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\3aef2336-3b05-4086-9b46-60c9c9300262
03.07.2006 11:37:54 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
03.07.2006 11:47:00 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\99d710a3-4505-40b1-8929-a124c7d4312a
03.07.2006 11:47:00 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred

Checking for CPL files...
Microsoft Corporation 04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
12.11.1999 06:11:00 184832 C:\WINDOWS\SYSTEM32\bdeadmin.cpl
Microsoft Corporation 04.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
DataDesign AG 02.09.2004 10:02:34 679936 C:\WINDOWS\SYSTEM32\ddbaccpl.cpl
DataDesign AG 02.09.2004 10:06:24 176128 C:\WINDOWS\SYSTEM32\ddbacctm.cpl
Microsoft Corporation 04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 06.12.2004 22:31:48 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 04.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl
Socket Communications Inc. 04.08.2003 15:05:00 73728 C:\WINDOWS\SYSTEM32\drivers\SCBaud.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
26.01.2005 22:11:16 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
25.06.2005 12:41:14 751 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
25.06.2005 12:31:58 751 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
19.02.2006 10:03:40 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
26.01.2005 22:05:06 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
25.06.2005 12:41:06 191 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
26.01.2005 22:11:16 HS 84 C:\Dokumente und Einstellungen\Surfen\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
26.01.2005 22:05:06 HS 62 C:\Dokumente und Einstellungen\Surfen\Anwendungsdaten\desktop.ini
13.07.2006 00:47:04 36674 C:\Dokumente und Einstellungen\Surfen\Anwendungsdaten\wklnhst.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "C:\Programme\TuneUp Utilities 2006\sdshelex.dll"
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{321CF1F6-A729-4033-91B6-50D51737BC1C}
= C:\Programme\T-Online\T-Online_Software_6\Banking\HbDokMan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "C:\Programme\TuneUp Utilities 2006\sdshelex.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B205A35E-1FC4-4CE3-818B-899DBBB3388C}
MenuText = :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Dit Dit.exe
Verknüpfung mit der High Definition Audio-Eigenschaftenseite HDAudPropShortcut.exe
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
AGRSMMSG AGRSMMSG.exe
Keyboard Status C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
RemoteControl "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
PCMService "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
iTunesHelper "C:\Programme\iTunes\iTunesHelper.exe"
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
T-Online DSL-Manager "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
ToADiMon.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
!ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
!ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
InfoCockpit C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 1
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoBandCustomize 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 21.07.2006 22:17:22

#55 Gehe in die Registry
Start - Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoBandCustomize <--loeschen

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools <--loeschen

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#56 kaspersky läuft noch, soll ich den abbrechen, und in die Registry gehen, oder erst Kaspersky abwarten?
Danke,
Uli

hier der erste Teil von kaspersky, ich werde ihn dann anhalten, die regedit Befehle machen, dann hijackthis laufen lassen und dann kaspersky wieder starten, während ich drauf warte, daß Du Dich wieder meiner annimmst.
Gruß,
Uli
KASPERSKY ONLINE SCANNER REPORT
Friday, July 21, 2006 10:36:24 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 21/07/2006
Kaspersky Anti-Virus database records: 196492


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target Critical Areas
C:\WINDOWS
C:\DOKUME~1\Surfen\LOKALE~1\Temp\

Scan Statistics
Total number of scanned objects 19894
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 00:09:26

Infected Object Name Virus Name Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\DOKUME~1\Surfen\LOKALE~1\Temp\~DFBBA3.tmp Object is locked skipped

Scan process completed.

#57 warte natuerlich erst mal den kaspersky ab

+
poste dann auch noch mal das neue Log vom HijackThis (ich will sehen, ob die 017-Eintraege zurueckgekommen sind)
__________
MfG Sabina

rund um die PC-Sicherheit

#58 Entschuldigung, war zwei Tage weg. Jetzt mache ich weiter.

Der "kaspersky" vom 21.7. 22:36 Uhr oben ist nach klick auf folgende Zeilen entstanden: Critical Areas
scan critical areas of your hard disks
specified in %windir% and %tmp% system variables

Der text log, der nach folgendem scan entstanden ist, ist 9,7 MB groß. Soll ich den wirklich hier posten?
My Computer
scan all your hard and mapped disks
My Email
scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS

Scanne jetzt noch mit kaspersky die email dateien.

hier der log:
KASPERSKY ONLINE SCANNER REPORT
Sunday, July 23, 2006 10:33:29 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 23/07/2006
Kaspersky Anti-Virus database records: 196882


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Email
C:\
D:\
E:\
F:\

Scan Statistics
Total number of scanned objects 78
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 00:01:24

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Entwürfe.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gesendete Objekte.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot101.msg Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot102.msg Object is locked skipped

C:\Dokumente und Einstellungen\Moni & Uli-offline\Programme\Office52\program\ot103.msg Object is locked skipped

C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Raimo\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Pop3uidl.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Postausgang.dbx Object is locked skipped

C:\Dokumente und Einstellungen\Root\Lokale Einstellungen\Anwendungsdaten\Identities\{6653DB51-BF53-484C-89AA-E92DD98096E5}\Microsoft\Outlook Express\Posteingang.dbx Object is locked skipped

Scan process completed.

hijackthis log
Logfile of HijackThis v1.99.1
Scan saved at 22:37:40, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\Browser.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 15 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zitat:
"Gehe in die Registry
Start - Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoBandCustomize <--loeschen

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools <--loeschen

PC neustarten"

Nach Neustart ist erste Datei weg, aber die disableregistrytools ist wieder gekommen.

Werde sie jetzt nochmal löschen, und dann nochmal den hijackthis laufen lassen und posten.


Gruß,
Uli

#59 wenn die DisableRegistryTools raus ist, oder wenigstens auf 0 , dann ist wieder alles o.k.
der 017-Eintrag ist auch in Ordnung

---------

scanne noch mal mit ewido (im abgesicherten modus)
__________
MfG Sabina

rund um die PC-Sicherheit

#60 der wert ist 0x00000000(0)
Bin ich auch den ukrainischen Server los?
Es ist noch eine Kleinigkeit geblieben: Der Bildschirmhintergrund ist weiß. Es scheint, da liegt eine weiße Fläche auf dem eigentlichen Bild (Sanddüne). und der active desktop läßt sich nicht anklicken. Das ist so, seit dankenswerterweise der rote Alarm und die spyware raze "Werbung" verschwunden ist.

Ich gehe recht in der Annahme, daß die 9,7 MB kaspersky hier nicht gebraucht werden?

Der ewido scan log kommt, sobald er fertig ist.
Einstweilen vielen Dank.
Gruß,
Uli