Andauernde Fehlermeldung/Weiterleitung zu WinAnti o.Ä. (Saabinaa)

#1 Hey Leute(sabina?)

Ich hab leider ein Problem,

Es kommt bei bestimmten Programmen immer wieder : "..fehlermeldung..bericht senden..nicht senden..."

Dann kommt manchmal eine Nachricht im ganz normalen Windows Design: Spyware entdeckt, Systemscan erforderlich.."
Wenn ich auf "ok" klicke werde ich auf eine Seite weitergeleitet..bin mir nicht ganz sicher wie sie heisst, denke WinAnti..!
Hier is ein Hijackthis logfile von heute:

Logfile of HijackThis v1.99.1
Scan saved at 00:07:30, on 11.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Gemeinsame Dateien\{2D569431-0BB0-1031-0113-060922050031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\Johannes\Desktop\all about setups\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Showwnd] showwnd.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141142460296
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#2 JohannesP

ja, der winantivirus pro 2006
http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html


poste bitte dieses Log
http://virus-protect.org/artikel/tools/combofix.html

+

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Start Time= 11.08.2006 17:28:04,20

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-10 20:34:18 14848 ( A.... ) "C:\WINDOWS\system32\cool.exe"
2006-08-09 22:49:04 ( .D... ) "C:\Programme\Windows Live Safety Center"
2006-08-09 22:46:28 ( .D... ) "C:\Programme\FlashGet"
2006-08-09 21:26:34 ( .D... ) "C:\Programme\RouterControl"
2006-08-09 21:05:42 573492 ( ..SH. ) "C:\WINDOWS\system32\mljji.dll"
2006-08-09 20:39:02 ( .D... ) "C:\Programme\ToolBar888"
2006-08-09 20:39:02 ( .D... ) "C:\Programme\Gemeinsame Dateien\{2D569431-0BB0-1031-0113-060922050031}"
2006-08-09 20:38:50 40973 ( ..SH. ) "C:\WINDOWS\system32\iifcyxx.dll"
2006-08-09 20:38:42 18944 ( A.... ) "C:\WINDOWS\system32\winjgf32.dll"
2006-08-09 20:32:20 ( .D... ) "C:\Programme\BearShare"
2006-08-09 20:20:10 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Steganos VPN"
2006-08-09 20:19:00 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla"
2006-08-09 20:18:20 ( .D... ) "C:\Programme\Steganos Internet Anonym VPN"
2006-08-09 17:12:48 552 ( A.... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\wklnhst.dat"
2006-08-09 15:50:06 ( .D... ) "C:\Programme\Norton Ghost"
2006-08-09 15:48:56 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Symantec"
2006-08-09 15:48:38 ( .D... ) "C:\Programme\Gemeinsame Dateien\Symantec Shared"
2006-08-01 12:47:14 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\IsolatedStorage"
2006-08-01 12:37:48 ( .D... ) "C:\Programme\Symantec"
2006-08-01 00:52:24 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Ahead"
2006-08-01 00:44:18 73728 ( A.... ) "C:\WINDOWS\ALCFDRTM.EXE"
2006-08-01 00:10:00 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\AdobeUM"
2006-07-31 23:55:36 ( .D... ) "C:\Programme\MyGlobalSearch"
2006-07-30 23:09:04 ( .D... ) "C:\Programme\WinAce"
2006-07-30 22:58:42 ( .D... ) "C:\Programme\Microsoft Games"
2006-07-29 23:42:28 ( .D... ) "C:\Programme\Hewlett Packard"
2006-07-29 23:20:50 ( .D... ) "C:\Programme\Yahoo!"
2006-07-29 14:06:48 12524078 ( A.... ) "C:\WINDOWS\system32\a-cat_scr.scr"
2006-07-28 11:17:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\Hewlett-Packard"
2006-07-28 11:16:46 ( .D... ) "C:\Programme\HP"
2006-07-28 11:16:14 ( .D... ) "C:\Programme\util"
2006-07-28 11:16:12 ( .D... ) "C:\Programme\Setup"
2006-07-28 11:16:08 ( .D... ) "C:\Programme\Drivers"
2006-07-28 11:16:08 ( .D... ) "C:\Programme\DEU"
2006-07-28 11:16:08 ( .D... ) "C:\Programme\common"
2006-07-27 23:03:44 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Help"
2006-07-27 20:28:08 ( .D... ) "C:\Programme\Ontrack"
2006-07-27 18:48:50 ( .D... ) "C:\Programme\ICQLite"
2006-07-27 18:48:50 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\ICQLite"
2006-07-26 21:18:30 ( .D... ) "C:\Programme\CCleaner"
2006-07-26 15:49:32 ( .D... ) "C:\Programme\Wolfenstein - Enemy Territory"
2006-07-26 14:24:04 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Apple Computer"
2006-07-26 14:23:30 ( .D... ) "C:\Programme\QuickTime"
2006-07-26 14:22:40 ( .D... ) "C:\Programme\iTunes"
2006-07-26 14:22:40 ( .D... ) "C:\Programme\iPod"
2006-07-26 14:03:06 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Opera"
2006-07-26 14:03:00 ( .D... ) "C:\Programme\Opera"
2006-07-26 13:16:34 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\MSNInstaller"
2006-07-26 12:58:22 ( .DS.. ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Microsoft"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\You've Got Pictures Screensaver"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Sun"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Skype"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Real"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Macromedia"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Identities"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\CyberLink"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\AOL"
2006-07-26 12:58:22 ( .D... ) "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Adobe"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-06-19 16:20:42 702768 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-10 18:36 14.848 C:\WINDOWS\system32\cool.exe
2006-08-09 21:26 322.560 C:\WINDOWS\RCoUn.EXE
2006-08-09 21:05 573.492 C:\WINDOWS\system32\mljji.dll
2006-08-09 20:38 40.973 C:\WINDOWS\system32\iifcyxx.dll
2006-08-09 20:38 18.944 C:\WINDOWS\system32\winjgf32.dll
2006-08-09 15:48 466.944 C:\WINDOWS\system32\capicom.dll
2006-08-01 00:44 73.728 C:\WINDOWS\ALCFDRTM.EXE
2006-07-29 14:06 12.524.078 C:\WINDOWS\system32\a-cat_scr.scr
2006-07-26 12:51 1.610.612.736 C:\pagefile.sys
2006-07-26 12:51 1.072.156.672 C:\hiberfil.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"CmUCRRun"="C:\\WINDOWS\\system32\\CmUCReye.exe"
"MedionVFD"="\"C:\\Programme\\Medion Info Display\\MdionLCM.exe\""
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"Showwnd"="showwnd.exe"
"AntivirusRegistration"="C:\\Programme\\CA\\Etrust Antivirus\\Register.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"InstantOn"="\"C:\\Programme\\CyberLink\\PowerCinema Linux\\ion_install.exe /c \""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Norton Ghost 10.0"="\"C:\\Programme\\Norton Ghost\\Agent\\GhostTray.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{2D569431-0BB0-1031-0113-060922050031}"="\"C:\\Programme\\Gemeinsame Dateien\\{2D569431-0BB0-1031-0113-060922050031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLMIcon"
"hkey"="HKCU"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOLSHARE\\AOLMIcon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"




Contents of the 'Scheduled Tasks' folder

Completion time: 11.08.2006 17:28:24,26
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt



-----------------------------------------------------------

Und hier das zweite:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2D56-9431

Verzeichnis von C:\WINDOWS\system32

11.08.2006 17:31 308.518 ijjlm.ini
11.08.2006 17:21 308.022 ijjlm.bak2
11.08.2006 17:20 2.206 wpa.dbl
11.08.2006 17:18 39.291 nvapps.xml
10.08.2006 20:34 78 url.dat
10.08.2006 20:34 14.848 cool.exe
09.08.2006 21:05 273.027 ijjlm.bak1
09.08.2006 21:05 573.492 mljji.dll
09.08.2006 20:38 40.973 iifcyxx.dll
09.08.2006 20:38 18.944 winjgf32.dll
01.08.2006 12:46 396.876 perfh009.dat
01.08.2006 12:46 411.148 perfh007.dat
01.08.2006 12:46 61.540 perfc009.dat
01.08.2006 12:46 74.202 perfc007.dat
01.08.2006 12:46 930.020 PerfStringBackup.INI
29.07.2006 14:06 12.524.078 a-cat_scr.scr
27.07.2006 20:28 1.127 mapisvc.inf
26.07.2006 19:33 261.432 FNTCACHE.DAT
26.07.2006 12:58 86 $winnt$.inf
14.07.2006 17:38 332.288 netapi32.dll

#4 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\showwnd.exe
C:\WINDOWS\system32\showwnd.exe
C:\WINDOWS\RCoUn.EXE
C:\WINDOWS\system32\cool.exe


poste die reporte, ich kenne den Pfad von der showwnd.exe nicht, deshalb diese zwei Pfade. (du hast nicht die 4 logs von datfindbat gepostet, sondern nur das erste von System32 )

<--------------------------------------------------------------------------------

0.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
reinkopieren:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjgf32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljji

Files to delete:

C:\Programme\Toolbar888\ToolBar888.dll
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\WINDOWS\RCoUn.EXE
C:\WINDOWS\system32\ijjlm.ini
C:\WINDOWS\system32\ijjlm.bak2
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\ijjlm.bak1
C:\WINDOWS\system32\mljji.dll
C:\WINDOWS\system32\iifcyxx.dll
C:\WINDOWS\system32\winjgf32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
loesche:
C:\Programme\Gemeinsame Dateien\{2D569431-0BB0-1031-0113-060922050031}
C:\Programme\ToolBar888

deinstallieren:
C:\Programme\MyGlobalSearch

**
wende smitfraud.fix an
http://virus-protect.org/artikel/tools/smitfrautfix.html
--------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#5 soo
jetzt wirds kompliziert:

Den 1. Punkt kann ich nicht ausfüphren..beim hochladen kommt ne fehlermeldung der seite

2 Punkt:


VundoFix V5.1.7

Checking Java version...

Sun Java not detected
Scan started at 23:13:45 11.08.2006

Listing files found while scanning....

No infected files were found.


Beginning removal...
-----------------------------------------
3.Punkt

gemacht
---------------

4 Punkt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gwwctmwl

*******************

Script file located at: \??\C:\pdemfffd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programme\Toolbar888\ToolBar888.dll not found!
Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed!

Could not process line:
C:\Programme\Toolbar888\ToolBar888.dll
Status: 0xc0000034

File C:\Programme\ToolBar888\MyToolBar.dll deleted successfully.


File C:\Programme\ToolBar888\Activate.exe not found!
Deletion of file C:\Programme\ToolBar888\Activate.exe failed!

Could not process line:
C:\Programme\ToolBar888\Activate.exe
Status: 0xc0000034



File C:\Programme\ToolBar888\Uninst.exe not found!
Deletion of file C:\Programme\ToolBar888\Uninst.exe failed!

Could not process line:
C:\Programme\ToolBar888\Uninst.exe
Status: 0xc0000034

File C:\WINDOWS\RCoUn.EXE deleted successfully.
File C:\WINDOWS\system32\ijjlm.ini deleted successfully.
File C:\WINDOWS\system32\ijjlm.bak2 deleted successfully.
File C:\WINDOWS\system32\url.dat deleted successfully.
File C:\WINDOWS\system32\cool.exe deleted successfully.
File C:\WINDOWS\system32\ijjlm.bak1 deleted successfully.
File C:\WINDOWS\system32\mljji.dll deleted successfully.
File C:\WINDOWS\system32\iifcyxx.dll deleted successfully.
File C:\WINDOWS\system32\winjgf32.dll deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjgf32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljji deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




SmitFraudFix v2.81

Scan done at 23:49:02,75, 11.08.2006
Run from C:\Dokumente und Einstellungen\Johannes\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#6 JohannesP

scanne mit Panda und dann mit ewido und kopiere hier beide scanreporte
http://virus-protect.org/onlinescan.html

+
noch mal die 4 logs von datfindbat posten
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Incident Status Location

Potentially unwanted tool:application/mywebsearch Not disinfected c:\programme\MyGlobalSearch
Adware:adware/savenow Not disinfected Windows Registry
Potentially unwanted tool:application/zango Not disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@2o7[1].txt
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@ad.yieldmanager[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@adtech[1].txt
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@apmebf[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@atwola[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@doubleclick[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@fastclick[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@media.fastclick[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@mediaplex[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@stats1.reliablestats[2].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@weborama[2].txt
----------------------------------------------------------------------------------------------------
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.71i
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@adicq.71i[2].txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@adtech[1].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@doubleclick[2].txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@fastclick[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@media.fastclick[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@stats1.reliablestats[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Dokumente und Einstellungen\Johannes\Cookies\johannes@weborama[2].txt
Risk: Medium

Name: Adware.180Solutions
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
Risk: Medium

Name: Adware.180Solutions
Path: HKU\S-1-5-21-3283639090-1371632979-675453380-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038}
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Opera\Opera\profile\cache4\opr00KXH.exe
Risk: Low

Name: TrackingCookie.2o7
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@ad.yieldmanager[1].txt
Risk: Medium

Name: TrackingCookie.71i
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@adicq.71i[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@fastclick[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@media.fastclick[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: D:\Dokumente und Einstellungen\Johannes\Cookies\johannes@weborama[2].txt
Risk: Medium

Name: Adware.180Solutions
Path: D:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll
Risk: Medium

Name: Adware.180Solutions
Path: D:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll
Risk: Medium

Name: Adware.180Solutions
Path: D:\WINDOWS\Downloaded Program Files\ClientAX.dll
Risk: Medium

---------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2D56-9431

Verzeichnis von C:\WINDOWS\system32

12.08.2006 19:36 0 asfiles.txt
12.08.2006 19:33 2.550 Uninstall.ico
12.08.2006 19:33 1.406 Help.ico
12.08.2006 19:33 30.590 pavas.ico
12.08.2006 15:25 2.206 wpa.dbl
12.08.2006 15:24 39.291 nvapps.xml
12.08.2006 00:10 2.044 lvcoinst.log
12.08.2006 00:01 633 Installer.log
11.08.2006 23:26 1.612 hbrtfmvs.txt
09.08.2006 21:03 8.325.544 MRT.exe
01.08.2006 12:46 74.202 perfc007.dat
01.08.2006 12:46 396.876 perfh009.dat
01.08.2006 12:46 61.540 perfc009.dat
01.08.2006 12:46 411.148 perfh007.dat
01.08.2006 12:46 930.020 PerfStringBackup.INI
29.07.2006 14:06 12.524.078 a-cat_scr.scr
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 20:28 1.127 mapisvc.inf
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 19:33 261.432 FNTCACHE.DAT
26.07.2006 12:58 86 $winnt$.inf
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 12:47 181.248 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 14:34 48.936 sirenacm.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
29.04.2006 06:07 5.533.696 wmp.dll
27.04.2006 17:49 288.417 SrchSTS.exe
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
28.02.2006 18:12 176.167 rmoc3260.dll
28.02.2006 18:12 5.632 pndx5032.dll
28.02.2006 18:12 6.656 pndx5016.dll
28.02.2006 18:12 278.528 pncrt.dll
28.02.2006 15:56 6.919 jupdate-1.5.0_06-b05.log
28.02.2006 13:23 664 d3d9caps.dat

#8 1.
Avenger

Zitat

Files to delete:

C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Opera\Opera\profile\cache4\opr00KXH.exe
D:\WINDOWS\Downloaded Program Files\ClientAX.dll

2.
Start - Ausfuehren - regedit

bearbeiten - suchen - {56F1D444-11BF-4879-A12B-79CF0177F038}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} -> loeschen

bearbeiten - suchen - {56F1D444-11BF-4879-A12B-79CF0177F038}

HKU\S-1-5-21-3283639090-1371632979-675453380-1008\
Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> loeschen

PC neustarten

3.
manuell loeschen:

D:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll
c:\programme\MyGlobalSearch

--------------------

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit