Virus alert in der Taskleiste

#1 Hallo,

ich habe mir auch diese doofe Ding eingefangen das die Browserstartseite ständig auf about:blank stellt und Pop-Up´s öffnet aber ich hoffe ihr könnt mir helfen. Danke!

Logfile of HijackThis v1.99.1
Scan saved at 18:04:08, on 16.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPAMfighter\SFAgent.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\TELEBAU\Telnet @dsl ADSL USB MODEM\dslmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKCU\..\Run: [AutoSizer] "D:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: BLUEVEX - Die Sportbörse Deutschland.url
O4 - Startup: Financial spread betting - Finspreads.url
O4 - Startup: FTOR - Finance-Community.url
O4 - Startup: Introducing Media Manager.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Startup: Midasplayer.url
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - http://www.tradesignal.com/wpa/tsb/2.7.0.38/components/tsbt-2-7-0-38.cab
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.technical-investor.de/wpa/tsb/2.6.2.0/components/tsbt-2-6-2-0.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/043038d5fd5fadacea17/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\System32\mzoeut.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)

#2 Arbeite bitte diese Reinigungsanleitung ab: http://siri.geekstogo.com/SmitfraudFix_De.php


Fixe diese Eintraege(Anhaken und"fix checked" druecken:

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)

Sowie alle "O16" Eintraege.


Danach Antivir nach dieser Anleitung einstellen(bitte genau durchlesen) und den Rechner pruefen. Melde, was es findet: http://board.protecus.de/t23979.htm

Ein Datfindreport waere auch ratsam: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi raman,

und vielen Dank für deine schnelle Antwort. Ich hab das Reinigungsprogramm durchgeführt und der Trojaner scheint weg zu sein. Aber was meinst du mit Einträge fixen. Wo finde ich diese Einträge?

Hier der Bericht vonn Antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 17. Juli 2006 20:03

Es wird nach 455247 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Thomas
Computername: THOMAS-9W1E5TKW

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 15.02.2006 06:13:40
AVSCAN.DLL : 7.0.0.42 57384 15.02.2006 06:13:40
LUKE.DLL : 7.0.0.42 118824 15.02.2006 06:13:40
LUKERES.DLL : 7.0.0.42 32808 15.02.2006 06:13:40
ANTIVIR0.VDF : 6.35.0.1 7371264 15.02.2006 06:13:40
ANTIVIR1.VDF : 6.35.0.168 730112 15.02.2006 06:13:40
ANTIVIR2.VDF : 6.35.0.181 78336 15.02.2006 06:13:40
ANTIVIR3.VDF : 6.35.0.206 56320 15.02.2006 06:13:40
AVEWIN32.DLL : 7.1.0.21 1552896 15.02.2006 06:13:40
AVPREF.DLL : 7.0.0.1 53288 15.02.2006 06:13:40
AVREP.DLL : 6.35.0.154 708648 15.02.2006 06:13:40
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 04:53:15
AVPACK32.DLL : 7.1.0.1 335912 15.02.2006 06:13:40
AVREG.DLL : 6.31.0.90 27688 15.02.2006 06:13:40
NETNT.DLL : 6.32.0.0 6696 15.02.2006 06:13:40
NETNW.DLL : 6.32.0.0 9768 15.02.2006 06:13:40
RCIMAGE.DLL : 7.0.0.71 1642536 15.02.2006 06:13:42
RCTEXT.DLL : 7.0.0.75 77864 15.02.2006 06:13:42

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,A,E,F
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Montag, 17. Juli 2006 20:03


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 38 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 28 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\bling.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted.Modified
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4524da22.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\My Pictures\##04IndexerRunning
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 17. Juli 2006 20:47
Benötigte Zeit: 44:16 min

Der Suchlauf wurde vollständig durchgeführt.

3299 Verzeichnisse wurden überprüft
151164 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1248 Archive wurden durchsucht
24 Warnungen
0 Hinweise

#4 Schau mal in Antivirs Quarantaene und schicke diese Datei 4524da22.qua an virus@protecus.de um einen Fehlalarm auszuschliessen.....

Mit den eintraegen meine ich die von hijackthis. Dort ist ein kleines Kaestchen vor den Eintraegen, die man anhaken kann. Waehle die Eintraege, die ich oben angegeben habe und druecke dann fix checked.

Datfind Repo?
__________
MfG Ralf
SEO-Spam Hunter

#5 Also senden kann ich die Datei nicht da Antivir keine andere Empfängeradresse eingeben lässt aber ich habe dir unten mal ein Bildchen angehängt vielleicht hilft das ja weiter.

Datfind Report:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\WINDOWS\system32

17.07.2006 19:21 12.980 wpa.dbl
16.07.2006 18:48 1.073.152 FreeImage.dll
20.06.2006 19:29 57.384 avsda.dll
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
27.04.2006 17:49 288.417 SrchSTS.exe
25.04.2006 16:28 421.888 RealMediaSplitter.ax
26.03.2006 10:08 375.406 perfh009.dat
26.03.2006 10:08 51.204 perfc009.dat
26.03.2006 10:08 383.424 perfh007.dat
26.03.2006 10:08 60.752 perfc007.dat
26.03.2006 10:08 880.862 PerfStringBackup.INI


2. teil

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

18.07.2006 18:54 0 isF.tmp
18.07.2006 18:53 0 is6.tmp
18.07.2006 18:53 0 2f377.mst
18.07.2006 18:53 0 2f376.mst
18.07.2006 18:50 618 jusched.log
5 Datei(en) 618 Bytes
0 Verzeichnis(se), 4.348.248.064 Bytes frei

3. Teil

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\WINDOWS

18.07.2006 22:19 1.027 win.ini
18.07.2006 18:51 0 0.log
18.07.2006 18:50 159 wiadebug.log
18.07.2006 18:50 50 wiaservc.log
18.07.2006 18:50 2.048 bootstat.dat
18.07.2006 18:49 32.622 SchedLgU.Txt
17.07.2006 19:39 230.262 ntbtlog.txt
17.07.2006 19:37 169.685 setupact.log
17.07.2006 19:33 428 lexstat.ini
16.07.2006 18:05 3.180.128 setupapi.log
16.07.2006 16:43 498 GEARInstall.log
16.07.2006 16:34 54.156 QTFont.qfn
14.07.2006 09:09 50.738 wmsetup.log
16.05.2006 16:36 235.016 KingComIE.dll

4. Teil

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\

18.07.2006 22:31 0 sys.txt
18.07.2006 22:30 9.021 system.txt
18.07.2006 22:28 477 systemtemp.txt
18.07.2006 22:27 102.884 system32.txt
18.07.2006 21:51 0 cmsstorage.lst
18.07.2006 18:50 805.306.368 pagefile.sys
17.07.2006 19:38 1.429 rapport.txt
21.03.2006 15:12 57.856 Reklamation-26-01-2006.xls
21.05.2005 14:09 194 boot.ini

#6 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Srv32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 19.07.2006 10:23:44 for strings:
; 'srv32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV32]

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\SQL Server]
"Driver"="C:\\WINDOWS\\System32\\SQLSRV32.dll"
"Setup"="C:\\WINDOWS\\System32\\sqlsrv32.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRV32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRV32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRV32\0000]
"Service"="Srv32"
"DeviceDesc"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32]
; Contents of value:
; c:\windows\system32\srv32.exe s
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
73,72,76,33,32,2e,65,78,65,20,53,00
"DisplayName"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32\Enum]
"0"="Root\\LEGACY_SRV32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRV32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRV32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRV32\0000]
"Service"="Srv32"
"DeviceDesc"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Srv32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Srv32]
; Contents of value:
; c:\windows\system32\srv32.exe s
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
73,72,76,33,32,2e,65,78,65,20,53,00
"DisplayName"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Srv32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32\0000]
"Service"="Srv32"
"DeviceDesc"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32]
; Contents of value:
; c:\windows\system32\srv32.exe s
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
73,72,76,33,32,2e,65,78,65,20,53,00
"DisplayName"="Srv32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32\Enum]
"0"="Root\\LEGACY_SRV32\\0000"

; End Of The Log...

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRV32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRV32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Srv32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32

Files to delete:

C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll
C:\WINDOWS\System32\srv32.exe
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\System32\mzoeut.dll
C:\WINDOWS\system32\bling.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
+pste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sfiaeswd

*******************

Script file located at: \??\C:\gciwqbia.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRV32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Srv32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRV32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Srv32 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRV32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv32
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll deleted successfully.


File C:\WINDOWS\System32\srv32.exe not found!
Deletion of file C:\WINDOWS\System32\srv32.exe failed!

Could not process line:
C:\WINDOWS\System32\srv32.exe
Status: 0xc0000034



File C:\WINDOWS\System32\svhost.exe not found!
Deletion of file C:\WINDOWS\System32\svhost.exe failed!

Could not process line:
C:\WINDOWS\System32\svhost.exe
Status: 0xc0000034



File C:\WINDOWS\System32\mzoeut.dll not found!
Deletion of file C:\WINDOWS\System32\mzoeut.dll failed!

Could not process line:
C:\WINDOWS\System32\mzoeut.dll
Status: 0xc0000034



File C:\WINDOWS\system32\bling.exe not found!
Deletion of file C:\WINDOWS\system32\bling.exe failed!

Could not process line:
C:\WINDOWS\system32\bling.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#10 gut gemacht

arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/fprot.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ¨X¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨[
¨UC:\DOKUME~1\LOCALS~1\NTUSER~1.LOG Not scanned (in use by another application)¨U
¨UC:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\WINDOWS\USRCLASS.DAT Not scan¨U
¨UC:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\WINDOWS\USRCLA~1.LOG Not scan¨U
¨UC:\DOKUME~1\NETWOR~1\NTUSER.DAT Not scanned (in use by another application) ¨U
¨UC:\DOKUME~1\NETWOR~1\NTUSER~1.LOG Not scanned (in use by another application)¨U
¨UC:\DOKUME¨X¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨[ Not scan¨U
¨UC:\DOKUME¨U ¨U Not scan¨U
¨UC:\DOKUME¨U Results of virus scanning: ¨Uation) ¨U
¨UC:\DOKUME¨U ¨Uication) ¨U
¨UScanning ¨U Files: 7023 ¨U ¨U
¨UD:\MYPICT¨U MBRs: 0 ¨U ¨U
¨UD:\VIDEOS¨U Boot sectors: 0 ¨U ¨U
¨UResults o¨U Objects scanned: 15808 ¨U ¨U
¨U ¨U ¨U ¨U
¨UFiles: 70¨U Time: 2:58 ¨U ¨U
¨UMBRs: 0 ¨U ¨U ¨U
¨UBoot sect¨U No viruses or suspicious files/boot sectors were found. ¨U ¨U
¨UObjects s¨^¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨a ¨U
¨U ¨U
¨UTime: 2:58 ¨U
¨U ¨U
¨UNo viruses or suspicious files/boot sectors were found. ¨U
¨U ¨U
¨^¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨T¨TESC-Cancel¨T¨a

#12 poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Logfile of HijackThis v1.99.1
Scan saved at 14:28:12, on 19.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\TELEBAU\Telnet @dsl ADSL USB MODEM\dslmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\1031\wfxmsrvr.exe
C:\PROGRA~1\MICROS~2\Office\1031\OLFMOD32.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\imapi.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\System32\hp100.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKCU\..\Run: [AutoSizer] "D:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: BLUEVEX - Die Sportbörse Deutschland.url
O4 - Startup: Financial spread betting - Finspreads.url
O4 - Startup: FTOR - Finance-Community.url
O4 - Startup: Introducing Media Manager.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Startup: Midasplayer.url
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - http://www.tradesignal.com/wpa/tsb/2.7.0.38/components/tsbt-2-7-0-38.cab
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.technical-investor.de/wpa/tsb/2.6.2.0/components/tsbt-2-6-2-0.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/043038d5fd5fadacea17/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#14 1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\1796011.dll (file missing)
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\System32\hp100.tmp (file missing)
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

PC neustarten

2.
poste das log von winpfind
http://virus-protect.org/winpfind.html

3.
liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich oeffnen-> mit der rechten Maustaste abkopieren und "einfuegen" in den Thread.
http://virus-protect.org/zip/liste.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Sag mal hab ich mir soviel eingefangen oder ist das alles noch wegen dem Spyquake?

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
SAHAgent 10.06.2004 21:30:46 12914 C:\SahAgent.log
SAHAgent 18.07.2006 22:31:26 1296 C:\sys.txt

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 06.01.2006 12:27:32 48128 C:\WINDOWS\AKDeInstall.exe

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 29.08.2002 12:43:28 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe
UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe
UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
19.07.2006 14:46:12 S 2048 C:\WINDOWS\bootstat.dat
16.07.2006 16:34:38 H 54156 C:\WINDOWS\QTFont.qfn
19.07.2006 14:50:56 H 1024 C:\WINDOWS\system32\config\default.LOG
19.07.2006 14:46:12 H 1024 C:\WINDOWS\system32\config\SAM.LOG
19.07.2006 14:46:42 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
19.07.2006 14:52:28 H 1024 C:\WINDOWS\system32\config\software.LOG
19.07.2006 14:46:50 H 1024 C:\WINDOWS\system32\config\system.LOG
12.06.2006 07:22:08 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\c7f477ae-1bd0-4cb4-9990-add36065116a
12.06.2006 07:22:08 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
19.07.2006 14:49:28 H 0 C:\WINDOWS\system32\spool\drivers\cmsstorage.lst
19.07.2006 14:46:14 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29.08.2002 12:43:42 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 12:43:42 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 12:43:42 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 12:43:42 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 12:43:42 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 03.06.2005 03:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 15.11.2002 09:09:30 R 192512 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
SiSoftware 09.03.2003 21:44:46 53248 C:\WINDOWS\SYSTEM32\SanCpl.cpl
Microsoft Corporation 29.08.2002 12:43:42 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 15.07.1997 78848 C:\WINDOWS\SYSTEM32\TWCPLU.CPL
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
21.02.2006 10:07:06 1737 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
16.04.2003 18:41:38 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
04.03.2004 19:36:32 697 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DSLMON.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
15.02.2006 08:14:34 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
16.04.2003 19:31:44 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
02.09.2005 20:36:46 1759 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
20.06.2004 19:56:22 194 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\BLUEVEX - Die Sportbörse Deutschland.url
16.04.2003 18:41:38 HS 84 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\desktop.ini
07.02.2006 10:26:30 152 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Financial spread betting - Finspreads.url
15.08.2004 21:44:14 156 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\FTOR - Finance-Community.url
12.06.2003 18:06:52 912 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Introducing Media Manager.lnk
17.05.2005 18:06:16 130 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Midasplayer.url

Checking files in %USERPROFILE%\Application Data folder...
19.12.2005 12:48:54 875 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\AdobeDLM.log
16.04.2003 19:31:44 HS 62 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\desktop.ini
19.12.2005 12:48:54 0 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\FolderToAssetStorage
{09f28970-580f-11cf-a095-00aa00a71191} = C:\WINDOWS\System32\shstgeu.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Lexmark X1100 Series "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
C-Media Mixer Mixer.exe /startup
iTunesHelper "D:\Programme\iTunes\iTunesHelper.exe"
QuickTime Task "D:\Programme\QuickTime\qttask.exe" -atboottime
SPAMfighter Agent "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AutoSizer "D:\Programme\AutoSizer\AutoSizer.exe"
updateMgr "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
backup C:\WINDOWS\pss\CAPIControl.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Telekom\EUMEX5~1\Capictrl.exe
item CAPIControl
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
backup C:\WINDOWS\pss\CAPIControl.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Telekom\EUMEX5~1\Capictrl.exe
item CAPIControl

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l
item Microsoft Office
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l
item Microsoft Office

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup C:\WINDOWS\pss\ScanPanel.lnkCommon Startup
location Common Startup
command C:\SCANPA~1\ScnPanel.exe
item ScanPanel
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup C:\WINDOWS\pss\ScanPanel.lnkCommon Startup
location Common Startup
command C:\SCANPA~1\ScnPanel.exe
item ScanPanel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Symantec Fax Starter Edition-Anschluss.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk
backup C:\WINDOWS\pss\Symantec Fax Starter Edition-Anschluss.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office\1031\OLFSNT40.EXE
item Symantec Fax Starter Edition-Anschluss
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk
backup C:\WINDOWS\pss\Symantec Fax Starter Edition-Anschluss.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office\1031\OLFSNT40.EXE
item Symantec Fax Starter Edition-Anschluss

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Thomas^Startmenü^Programme^Autostart^Finspreads.url
path C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Finspreads.url
backup C:\WINDOWS\pss\Finspreads.urlStartup
location Startup
command C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Finspreads.url
item Finspreads
path C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Finspreads.url
backup C:\WINDOWS\pss\Finspreads.urlStartup
location Startup
command C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Finspreads.url
item Finspreads

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Thomas^Startmenü^Programme^Autostart^stocknet.url
path C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\stocknet.url
backup C:\WINDOWS\pss\stocknet.urlStartup
location Startup
command C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\stocknet.url
item stocknet
path C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\stocknet.url
backup C:\WINDOWS\pss\stocknet.urlStartup
location Startup
command C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\stocknet.url
item stocknet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 19.07.2006 14:52:48 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

31.05.2005 09:20 <DIR> CONFLICT.1
12.01.2004 10:49 885.248 EPScontrol.dll
12.01.2004 10:44 529 EPScontrol.inf
15.06.2006 18:33 1.132.192 EPUWALcontrol.dll
09.05.2006 16:51 539 EPUWALcontrol.inf
24.01.2005 12:38 1.249 erma.inf
26.03.2002 13:52 782 FlashAX.inf
25.11.2004 09:37 337 ImageUploader_3.inf
06.06.2005 11:37 1.701.504 ImageUploader_3.ocx
25.08.2003 18:12 1.096 iuctl.inf
20.02.2003 16:50 772 jinstall-1_4_1_02.inf
28.06.2003 09:14 772 jinstall-1_4_1_04.inf
19.08.2003 20:06 740 jinstall-1_4_2_01.inf
03.06.2005 04:49 752 jinstall-1_5_0_04.inf
16.05.2006 16:30 236 KingComIE.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
13.09.2005 09:33 402.952 Midasa.dll
01.09.2005 10:26 341 midasa.inf
16.04.2002 14:03 483.328 PWActiveXImgCtl.dll
09.10.2003 10:32 144 QTPlugin.inf
28.01.2004 19:59 9.883.524 QuickTimeInstallCache.qdat
03.03.2003 14:06 524.404 RdxIE.dll
27.01.2004 05:34 146.944 SAHAgent_.exe
27.01.2004 05:35 55.808 SahHtml_.exe
27.01.2004 05:34 29.696 SAHUninstall_.exe
29.05.2002 22:12 9.488 sporder.dll
29.05.2002 22:12 9.488 sporder_.dll
27.08.2005 14:30 5.065 swflash.inf
02.06.2005 11:59 488 tsbti.inf
02.06.2005 11:43 1.427.456 tsbticor.ocx
02.06.2005 11:46 409.600 tsbtigui.dll
02.06.2005 11:46 180.224 tsbtitls.dll
23.06.2004 12:59 180.224 WMDownload.dll
21.06.2004 11:48 656 WMDownload.inf
29.05.2002 22:12 53.248 xmlparse_.dll
29.05.2002 22:13 81.920 xmltok_.dll
35 Datei(en) 17.612.908 Bytes
1 Verzeichnis(se), 4.323.655.680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp

19.07.2006 14:48 <DIR> .
19.07.2006 14:48 <DIR> ..
18.07.2006 18:53 0 2f376.mst
18.07.2006 18:53 0 2f377.mst
16.08.2004 20:07 <DIR> Adobe
13.04.2006 16:40 <DIR> byeC.tmp
07.02.2005 14:02 <DIR> Excel8.0
24.11.2004 13:36 <DIR> FrontPageTempDir
17.02.2005 11:11 <DIR> fsg_tmp
16.07.2006 16:49 <DIR> hsperfdata_Thomas
15.07.2005 15:31 <DIR> ICD1.tmp
09.07.2005 15:28 <DIR> ImageUploader_Temp
18.07.2006 18:53 0 is6.tmp
18.07.2006 18:54 0 isF.tmp
19.07.2006 14:46 1.236 jusched.log
11.05.2006 18:42 <DIR> msoclip1
19.07.2006 14:48 <DIR> Rar$DI00.436
19.07.2006 14:47 <DIR> Rar$EX00.858
03.08.2004 12:30 <DIR> setup~1
17.12.2005 15:17 <DIR> SF1134825339
18.01.2006 00:39 <DIR> SF1137537540-UPDATE
18.01.2006 00:42 <DIR> SF1137537555
18.01.2006 00:40 <DIR> SF1137537620-BACKUP
08.02.2006 12:51 <DIR> SF1139395798
01.05.2006 21:32 <DIR> SF1146511930-UPDATE
01.05.2006 21:51 <DIR> SF1146511948
01.05.2006 21:48 <DIR> SF1146512892-BACKUP
14.06.2006 19:52 <DIR> SF1150307545-UPDATE
14.06.2006 19:55 <DIR> SF1150307560
14.06.2006 19:53 <DIR> SF1150307587-BACKUP
10.07.2006 21:03 <DIR> SF1152558198
18.07.2006 18:53 <DIR> SF1153241581-UPDATE
18.07.2006 18:56 <DIR> SF1153241595
18.07.2006 18:54 <DIR> SF1153241651-BACKUP
16.12.2004 15:36 <DIR> VBE
14.06.2006 19:52 <DIR> _is1
01.05.2006 21:32 <DIR> _is3
31.08.2004 10:42 <DIR> _ISTMP1.DIR
01.11.2004 15:48 <DIR> _ISTMP2.DIR
12.01.2005 22:05 <DIR> {225af9a1-b556-88d5-94aa-0010b5426419}
21.02.2006 12:17 <DIR> {3ffeed6a-c398-41db-bc65-9fabbbc19ba5}
21.02.2006 12:17 <DIR> {9d1e3df2-792a-4b1b-aabc-2b45d0f1eec6}
14.08.2004 14:59 <DIR> {AD708DF0-9F04-4CB3-821A-85804A833B4D}
21.02.2006 12:17 <DIR> {C4FFC694-FDDA-49B7-867D-4379549AAD8B}
18.07.2006 18:53 <DIR> {DE517BF0-17BB-4BEC-9C4D-369143D9475F}
21.02.2006 12:17 <DIR> {e2285303-f4c8-4274-bf8d-b41b3e9263f1}
12.02.2006 20:55 <DIR> {f45298e5-0083-426f-a668-1a2c5f04b8a0}
21.02.2006 12:17 <DIR> {fc347df7-7e18-4f31-871c-0bc4065f3fc1}
16.07.2006 17:32 <DIR> ~nsu.tmp
31.07.2004 13:33 <DIR> ~offfilt
5 Datei(en) 1.236 Bytes
45 Verzeichnis(se), 4.323.651.584 Bytes frei

2.Teil

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\WINDOWS\Temp

19.07.2006 14:46 <DIR> .
19.07.2006 14:46 <DIR> ..
13.07.2006 21:16 124 0CF6E057.TMP
10.02.2005 11:54 2.760 IDSinst.LOG
19.07.2006 14:46 40.960 rtdrvmon.exe
10.02.2005 11:54 2.309 SNDSetup544.log
10.02.2005 11:54 330.086 SNDUpdater544I.log
24.02.2005 11:47 155.512 SPL12.tmp
28.08.2004 18:39 2.477.772 SPL16.tmp
20.11.2004 21:39 9.975.773 SPL6.tmp
06.08.2005 19:03 385.610 SPL8.tmp
06.08.2005 19:04 65.536 SPL9.tmp
15.08.2004 21:40 124 symcprop.dat
15.08.2004 21:40 316 SymSCLiveUpdate.dat
23.09.2004 08:45 256 ZLT07519.TMP
13 Datei(en) 13.437.138 Bytes
2 Verzeichnis(se), 4.323.651.584 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\Programme

18.07.2006 18:54 <DIR> .
18.07.2006 18:54 <DIR> ..
19.12.2005 12:48 <DIR> Adobe
01.11.2004 19:52 <DIR> Ahead
19.05.2006 06:36 <DIR> AntiVir PersonalEdition Classic
10.06.2004 21:21 <DIR> Common Files
16.04.2003 18:38 <DIR> ComPlus Applications
18.05.2003 00:20 <DIR> directx
22.12.2005 15:47 <DIR> Exact Audio Copy
01.11.2004 16:42 <DIR> FRITZ!DSL
18.07.2006 18:56 <DIR> Gemeinsame Dateien
13.04.2006 16:40 <DIR> Google
07.06.2006 20:06 <DIR> GSNS
10.06.2004 21:21 <DIR> IncrediFind
19.03.2005 12:20 <DIR> Internet Explorer
16.07.2006 16:43 <DIR> iPod
15.07.2005 15:38 <DIR> Java
12.12.2005 14:59 <DIR> Lexmark X1100 Series
12.06.2003 18:06 <DIR> Media Manager
23.08.2005 09:16 <DIR> Messenger
16.04.2003 19:58 <DIR> microsoft frontpage
16.04.2003 19:58 <DIR> Microsoft Office
16.04.2003 20:00 <DIR> Microsoft Visual Studio
19.09.2003 20:44 <DIR> Movie Maker
16.04.2003 18:37 <DIR> MSN
16.04.2003 18:37 <DIR> MSN Gaming Zone
31.08.2004 10:39 <DIR> MSXML 4.0
03.06.2004 08:30 <DIR> MuellerFotoDigital
18.02.2004 16:15 <DIR> MUSICMATCH
13.02.2006 13:19 <DIR> Nebenkosten easy
19.09.2003 20:44 <DIR> NetMeeting
16.04.2003 18:37 <DIR> Online Services
16.04.2003 18:40 <DIR> Online-Dienste
19.09.2003 21:14 <DIR> Outlook Express
27.03.2006 20:40 <DIR> OZAKI USB SPEAKER
23.08.2004 19:59 <DIR> PantsOff
23.08.2004 19:59 <DIR> Panzerknacker
20.01.2004 17:52 <DIR> Real
29.07.2005 14:01 <DIR> SAMSUNG
18.07.2006 18:56 <DIR> SPAMfighter
21.02.2006 12:17 <DIR> StarMoney 4.0
19.07.2006 11:53 <DIR> StarMoney 5.0
04.03.2004 19:18 <DIR> TELEBAU
23.04.2003 17:44 <DIR> Telekom
29.07.2005 13:51 <DIR> Usb to Seri*hier nicht!* Driver 1.12.25
28.10.2003 14:22 <DIR> ViennaSoft
03.08.2004 07:00 <DIR> whInstall
26.11.2004 20:24 <DIR> Windows Media Player
16.04.2003 18:37 <DIR> Windows NT
14.07.2005 14:55 <DIR> WinTrade DE
16.04.2003 18:41 <DIR> xerox
17.04.2003 20:22 <DIR> xp-AntiSpy
04.08.2005 14:59 <DIR> Yahoo!
16.07.2006 16:44 <DIR> ZipCodec
0 Datei(en) 0 Bytes
54 Verzeichnis(se), 4.323.647.488 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten

19.12.2005 12:44 <DIR> Adobe
19.12.2005 12:48 875 AdobeDLM.log
14.06.2006 19:44 <DIR> AdobeUM
16.07.2006 16:45 <DIR> Apple Computer
18.05.2003 00:21 <DIR> ArcSoft
19.12.2005 12:48 0 dm.ini
13.04.2006 16:41 <DIR> Google
23.04.2003 16:54 <DIR> Help
16.04.2003 18:48 <DIR> Identities
17.08.2003 14:17 <DIR> Jasc
23.07.2005 21:02 <DIR> Macromedia
16.04.2003 19:58 <DIR> Microsoft Web Folders
06.08.2004 20:49 <DIR> Mozilla
02.11.2004 18:26 <DIR> MSN6
03.06.2003 09:59 <DIR> Opera
20.01.2004 17:54 <DIR> Real
06.05.2003 21:03 <DIR> RVS
06.08.2004 21:11 <DIR> Sun
16.04.2003 21:32 <DIR> Symantec
29.01.2004 23:40 <DIR> SystemSoft
06.08.2004 20:49 <DIR> Talkback
18.06.2003 21:49 <DIR> TradeSignalEnterprise
16.01.2005 18:11 <DIR> vlc
2 Datei(en) 875 Bytes
21 Verzeichnis(se), 4.323.647.488 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CB3-FACF

Verzeichnis von C:\Programme\Gemeinsame Dateien

18.07.2006 18:56 <DIR> .
18.07.2006 18:56 <DIR> ..
16.07.2006 17:09 <DIR> Adobe
05.01.2004 22:00 <DIR> Agnitum Shared
18.07.2006 18:56 <DIR> Ankiro
18.07.2006 18:55 <DIR> Application
16.04.2003 20:00 <DIR> Designer
16.04.2003 18:39 <DIR> Dienste
23.08.2004 19:58 <DIR> InstallShield
11.03.1999 19:22 99.840 IRAABOUT.DLL
09.12.1998 04:53 48.640 IRALPTTR.DLL
09.12.1998 04:53 70.144 IRAMDMTR.DLL
09.12.1998 04:53 186.368 IRAREG.DLL
09.12.1998 04:53 17.920 IRASRIAL.DLL
09.12.1998 04:53 31.744 IRAWEBTR.DLL
15.07.2005 15:24 <DIR> Java
12.05.2006 18:58 <DIR> king.com
19.09.2003 21:14 <DIR> Microsoft Shared
16.04.2003 18:39 <DIR> MSSoap
16.04.2003 19:32 <DIR> ODBC
20.01.2004 17:52 <DIR> Real
16.04.2003 19:32 <DIR> SpeechEngines
18.12.2005 11:56 <DIR> Symantec Shared
19.09.2003 21:14 <DIR> System
15.06.2003 14:19 <DIR> Vbox
20.01.2004 17:52 <DIR> xing shared
6 Datei(en) 454.656 Bytes
20 Verzeichnis(se), 4.323.647.488 Bytes frei