Allgemeiner Virencheck / Hijack Logs

#0
23.08.2006, 23:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Trous

poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 01:09
Member

Themenstarter

Beiträge: 20
#17 Logfile of HijackThis v1.99.1
Scan saved at 01:09:19, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\WinampNEU\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Program Files\mIRC\mIRC.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Marvin\Desktop\Protecus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.galaxywars.de/
R3 - URLSearchHook: (no name) - {9C43C98B-273D-4E83-1B26-2E10E05525C5} - C:\WINDOWS\system32\zuueqc.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {015994D0-92CE-E18F-7F5F-167705DBBCE3} - C:\DOKUME~1\Marvin\ANWEND~1\COALPR~1\Vga trans.exe (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DC0F1F0-CF9E-4C38-8A52-51645704DFAB} - (no file)
O2 - BHO: (no name) - {4B2E8435-98BB-288B-AEFC-0E50E49D483A} - C:\DOKUME~1\Marvin\ANWEND~1\COALPR~1\Htm Dog.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54996C06-8328-4AA1-862D-8008950DE15A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8307FA23-8CD9-4CB2-96EB-A2A784D5C458} - C:\WINDOWS\system32\ssqpp.dll (file missing)
O2 - BHO: (no name) - {972ABCCD-8CB1-4AA1-9ED3-C96B6E4E049F} - (no file)
O2 - BHO: (no name) - {9C43C98B-273D-4E83-1B26-2E10E05525C5} - C:\WINDOWS\system32\zuueqc.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AA8E06F4-5434-451E-8E63-07E61E0DA8E7} - (no file)
O2 - BHO: (no name) - {B35244D0-8FF9-4272-BCDC-6BA839048BE3} - (no file)
O2 - BHO: (no name) - {C2EC8706-0E56-4BC2-AA36-AC125F2B0CAB} - (no file)
O2 - BHO: (no name) - {DA6632B6-36E8-4709-A844-132AA6B486D1} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [Morecompplanname] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send Each More Comp\Setup Poll.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\WinampNEU\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [winsecr] C:\WINDOWS\system32\WindowsSec.exe
O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\system32\im_2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eaus] "C:\WINDOWS\FNTS~1\arpa.exe" -vt yax
O4 - HKCU\..\Run: [winsecr] C:\WINDOWS\system32\WindowsSec.exe
O4 - HKCU\..\Run: [Duwxjps] C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\F?nts\?hkdsk.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm595YYDE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator1.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O15 - Trusted IP range: http://85.12.25.95
O15 - Trusted IP range: http://202.67.220.227
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
24.08.2006, 09:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Trous

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {015994D0-92CE-E18F-7F5F-167705DBBCE3} - C:\DOKUME~1\Marvin\ANWEND~1\COALPR~1\Vga trans.exe (file missing)
O2 - BHO: (no name) - {2DC0F1F0-CF9E-4C38-8A52-51645704DFAB} - (no file)
O2 - BHO: (no name) - {4B2E8435-98BB-288B-AEFC-0E50E49D483A} - C:\DOKUME~1\Marvin\ANWEND~1\COALPR~1\Htm Dog.exe (file missing)
O2 - BHO: (no name) - {54996C06-8328-4AA1-862D-8008950DE15A} - (no file)
O2 - BHO: (no name) - {8307FA23-8CD9-4CB2-96EB-A2A784D5C458} - C:\WINDOWS\system32\ssqpp.dll (file missing)
O2 - BHO: (no name) - {972ABCCD-8CB1-4AA1-9ED3-C96B6E4E049F} - (no file)
O2 - BHO: (no name) - {9C43C98B-273D-4E83-1B26-2E10E05525C5} - C:\WINDOWS\system32\zuueqc.dll (file missing)

O2 - BHO: (no name) - {AA8E06F4-5434-451E-8E63-07E61E0DA8E7} - (no file)
O2 - BHO: (no name) - {B35244D0-8FF9-4272-BCDC-6BA839048BE3} - (no file)
O2 - BHO: (no name) - {C2EC8706-0E56-4BC2-AA36-AC125F2B0CAB} - (no file)
O2 - BHO: (no name) - {DA6632B6-36E8-4709-A844-132AA6B486D1} - (no file)

O4 - HKLM\..\Run: [winsecr] C:\WINDOWS\system32\WindowsSec.exe
O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\system32\im_2.exe
O4 - HKCU\..\Run: [Eaus] "C:\WINDOWS\FNTS~1\arpa.exe" -vt yax
O4 - HKCU\..\Run: [winsecr] C:\WINDOWS\system32\WindowsSec.exe
O4 - HKCU\..\Run: [Duwxjps] C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\F?nts\?hkdsk.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm595YYDE

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall.cab

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

**
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 12:44
Member

Themenstarter

Beiträge: 20
#19 Hijack gefixt, Antispyware läuft grade durch...
Seitenanfang Seitenende
24.08.2006, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 dann poste unbedingt den scanreport, wenn der scan beendet ist ;)
+
noch mal das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 13:07
Member

Themenstarter

Beiträge: 20
#21 SUPERAntiSpyware Scan Log
Generated 08/24/2006 at 01:02 PM

Core Rules Database Version : 3060
Trace Rules Database Version: 1106

Memory Thread detected : 0
Registry Thread detected : 44
File Thread detected : 182

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@toplist[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@sel.as-us.falkag[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.cibleclick[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@usenext[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad1.clickhype[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@interclick[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@fortunecity[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@showit[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@paypopup[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@hit.stat[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adservervv.geizkragen[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@sales.liveperson[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wjliogdzsao.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@publishers.clickbooth[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@yadro[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cpvfeed[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@statcounter[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@komtrack[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@stats.clanpages[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@zedo[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cs.sexcounter[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wjkyupczikq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wjkoqnc5kcp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@smileycentral[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@euros4click[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@promarkt.122.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.counter-strike[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@stats1.reliablestats[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@srv1.ad.adition[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@stats24[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wflokhcjmco.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@247realmedia[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.gameforgeads[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tribalfusion[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.4players[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@as-eu.falkag[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.pointroll[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads2.net2day[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@xiti[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad2.pamedia.com[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@belnk[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@m1.webstats4u[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.screensavers[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@partypoker.touchclarity[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.imagecounter[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.jackpotmadness[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.war*hier nicht!*.dl[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@19028600[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@atwola[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@forum.counter-strike[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.adition[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@revenue[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adserver.team23[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cassava[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@18766632[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@z1.adserver[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@moneygaming[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.gaming2[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.cc214142[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@list[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wjk4kidpwlo.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@2o7[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.topwebsites[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adtech[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@offeroptimizer[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ath.belnk[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@as-us.falkag[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.etracker[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.sensismediasmart.com[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@banner.t-online[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@serving-sys[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.clickedyclick[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adopt.hbmediapro[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@888[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@trafficmp[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@please[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wfliuhcjekq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@partypoker[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tracker.wazap[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@mediavantage[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@rambler[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.winantiviruspro[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@a.as-us.falkag[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@1071486122[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.Seri*hier nicht!*[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@revenuegateway.directtrack[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wjkyqgczikp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@nbads[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads4.net2day[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tripod[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cts.metricsdirect[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@euroclick.parship[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adv.noblepoker[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@1070626547[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.komtrack[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@zanox[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@warlog[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@72438301[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tracker.d-sire[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@easymobile.122.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.beamfile[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.monster[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@globalcomsolutions.122.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@e-2dj6wfk4qgdjkdp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@mywebsearch[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.tripod.lycos[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.adition[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@perf.overture[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@1066528671[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@bluestreak[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@indextools[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@advertise.planetlan[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@install.screensaversource[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@pacificpoker[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@azjmp[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@clicktorrent[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adserver.xnx-gmbh[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.yauno[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@directtrack[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@i.screensavers[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@4stats[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@advertising[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tracker.e-sport[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@indexstats[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@dist.belnk[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.ambiweb[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@cgi-bin[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.adnet[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.hbv[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@79069326[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adrevolver[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@qvc[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@apmebf[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@talkline[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.heias[3].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@overture[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.mp-gamer[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@qvc[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@realmedia[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.stileproject[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@tacoda[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@a[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.heias[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@43733127[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@1066355573[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@stats.drivecleaner[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@microsoftwga.112.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ad.anw[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adserver.valudo[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@adbrite[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.war*hier nicht!*-united.dl[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@1065718206[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@razorgator.122.2o7[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@ads.uclick[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@300002139009955[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@mb[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@www.w3counter[1].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@revsci[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@counter[2].txt
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@stats[1].txt

Trojan.WinAntiSpyware/WinAntiVirus 2006
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#Capabilities
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000#Driver
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF\0000\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#Capabilities
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000#Driver
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF_HK\0000\LogConf

Trojan.PestTrap
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap#DisplayIcon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap#URLInfoAbout
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap#HelpLink
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Pest Trap#UninstallString

Adware.ClickSpring/Yazzle
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#Comments
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#Contact
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#DisplayVersion
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#HelpLink
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#InstallLocation
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#NoModify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#NoRepair
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#Publisher
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#Readme
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#UninstallString
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YazzleActiveX#URLInfoAbout
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx [  ]

Adware.ClickSpring
C:\QooBox\Purity\Dokumente und Einstellungen\Marvin\Anwendungsdaten\FNTS~1\HKDSK~1.EXE

Adware.Vundo Variant
C:\VundoFix Backups\ssqpp.dll



##################################################

Logfile of HijackThis v1.99.1
Scan saved at 13:11:10, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\WinampNEU\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marvin\Desktop\Protecus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.galaxywars.de/
R3 - URLSearchHook: (no name) - {9C43C98B-273D-4E83-1B26-2E10E05525C5} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [Morecompplanname] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send Each More Comp\Setup Poll.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\WinampNEU\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eaus] "C:\WINDOWS\FNTS~1\arpa.exe" -vt yax
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator1.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O15 - Trusted IP range: http://85.12.25.95
O15 - Trusted IP range: http://202.67.220.227
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Dieser Beitrag wurde am 24.08.2006 um 13:11 Uhr von Trous editiert.
Seitenanfang Seitenende
24.08.2006, 13:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 fixe mit dem HijackThis:

Zitat

R3 - URLSearchHook: (no name) - {9C43C98B-273D-4E83-1B26-2E10E05525C5} - (no file)

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O4 - HKLM\..\Run: [Morecompplanname] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send Each More Comp\Setup Poll.exe

O4 - HKCU\..\Run: [Eaus] "C:\WINDOWS\FNTS~1\arpa.exe" -vt yax

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator1.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O15 - Trusted IP range: http://85.12.25.95
O15 - Trusted IP range: http://202.67.220.227
PC neustarten

**
poste das neue log vom hijackthis

**
poste noch mal das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 13:58
Member

Themenstarter

Beiträge: 20
#23 Logfile of HijackThis v1.99.1
Scan saved at 13:58:04, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\WinampNEU\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Dokumente und Einstellungen\Marvin\Desktop\Protecus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.galaxywars.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\WinampNEU\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe





########################

Marvin - 06-08-24 13:58:56.89
ComboFix 06.08.18 - Running from: C:\Dokumente und Einstellungen\Marvin\Desktop\Protecus

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Marvin\Anwendungsdaten\FNTS~1
C:\QooBox\Purity\Dokumente und Einstellungen\Marvin\Eigene Dateien\CURITY~1
C:\QooBox\Purity\WINDOWS\FNTS~1
C:\QooBox\Purity\WINDOWS\FNTS~1\FNTS~1
C:\QooBox\Purity\WINDOWS\system32\ICROSO~1


((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 ))))))))))))))))))))))))))))))))))


2006-08-20 00:45 53,248 C:\WINDOWS\system32\Process.exe
2006-08-20 00:45 42,496 C:\WINDOWS\system32\swreg.exe
2006-08-20 00:45 40,960 C:\WINDOWS\system32\swsc.exe
2006-08-20 00:45 288,417 C:\WINDOWS\system32\SrchSTS.exe
2006-08-13 17:24 182,784 C:\WINDOWS\system32\vbarchiv.dll
2006-07-29 16:36 57,384 C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-24 13:07 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Skype
2006-08-24 12:21 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-08-24 12:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-24 12:21 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-24 12:21 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\SUPERAntiSpyware.com
2006-08-24 00:31 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Help
2006-08-23 23:37 -------- d-------- C:\Programme\OCRANA-IRC
2006-08-23 22:33 -------- d-------- C:\Programme\ICQToolbar
2006-08-23 20:16 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\COPY TYPE LONG
2006-08-23 16:31 -------- d-------- C:\Programme\Internet Explorer
2006-08-23 15:52 -------- d-------- C:\Programme\ewido anti-spyware 4.0
2006-08-23 14:50 -------- d-------- C:\Programme\Sunbelt Software
2006-08-20 00:57 1883392 --a------ C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\CleanUp!.log
2006-08-20 00:53 -------- d-------- C:\Programme\CleanUp!
2006-08-18 20:18 -------- d-------- C:\Programme\WebWasher
2006-08-13 22:56 -------- d-------- C:\Programme\GameSpy Arcade
2006-08-13 22:39 -------- d-------- C:\Programme\Google
2006-08-13 21:01 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\coalprogrampart
2006-08-13 17:24 182784 --a------ C:\WINDOWS\system32\vbarchiv.dll
2006-08-13 01:18 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\teamspeak2
2006-08-12 21:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-12 09:08 -------- d-------- C:\Programme\Polygonsoft
2006-08-10 16:17 -------- d-------- C:\Programme\FileZilla
2006-08-04 23:46 -------- d-------- C:\Programme\MacroX
2006-08-03 14:03 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-02 15:25 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-02 15:25 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-07-29 16:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-07-29 16:24 -------- d-------- C:\Programme\Softwin
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-22 00:45 -------- d-------- C:\Programme\No-IP
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-20 20:23 -------- d-------- C:\Programme\Hamachi
2006-07-20 20:22 10345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-07-14 12:26 -------- d-------- C:\Programme\WinampNEU
2006-07-07 00:04 -------- d-------- C:\Programme\ICQLite
2006-07-05 16:46 -------- d-------- C:\Programme\Winamp2
2006-07-01 13:42 -------- dr------- C:\Programme\Spiele
2006-06-24 22:45 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Real
2006-06-24 22:07 -------- d-------- C:\Programme\Real
2006-06-24 22:01 -------- d-------- C:\Programme\concept design
2006-05-25 01:22 53248 --a------ C:\WINDOWS\bdoscandel.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe /install"
"AVAUTODELETE"="\"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\AntiVir PersonalEdition Classic\\UPGRADE\\upgrade.exe\" /restart"
"WinampAgent"="C:\\Programme\\WinampNEU\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\MyWebSearch Email Plugin.lnk"
"backup"="C:\\WINDOWS\\pss\\MyWebSearch Email Plugin.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\1.bin\\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^Marvin^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk]
"path"="C:\\Dokumente und Einstellungen\\Marvin\\Startmenü\\Programme\\Autostart\\MyWebSearch Email Plugin.lnk"
"backup"="C:\\WINDOWS\\pss\\MyWebSearch Email Plugin.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\1.bin\\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\!ewido]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ewido"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\AdaptecDirectCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DirectCD"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Cmaudio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmicnfg"
"hkey"="HKLM"
"command"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mmtask.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MMTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mm_tray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\move thunk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CITY BOLT WIPE"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Marvin\\ANWEND~1\\COPYTY~1\\CITY BOLT WIPE.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSMSGS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMCTRAY"
"hkey"="HKCU"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"c:\\valve\\steam\\steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SunServer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sunserver"
"hkey"="HKLM"
"command"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon


Completion time: 24.08.2006 14:00:09.17
ComboFix.txt
ComboFix2.txt
Dieser Beitrag wurde am 24.08.2006 um 14:02 Uhr von Trous editiert.
Seitenanfang Seitenende
24.08.2006, 14:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 fixe mit dem hijackthis:

Zitat

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
neustarten

**
poste noch mal das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 14:08
Member

Themenstarter

Beiträge: 20
#25 Marvin - 06-08-24 14:06:42.51
ComboFix 06.08.18 - Running from: C:\Dokumente und Einstellungen\Marvin\Desktop\Protecus

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Marvin\Anwendungsdaten\FNTS~1
C:\QooBox\Purity\Dokumente und Einstellungen\Marvin\Eigene Dateien\CURITY~1
C:\QooBox\Purity\WINDOWS\FNTS~1
C:\QooBox\Purity\WINDOWS\FNTS~1\FNTS~1
C:\QooBox\Purity\WINDOWS\system32\ICROSO~1


((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 ))))))))))))))))))))))))))))))))))


2006-08-20 00:45 53,248 C:\WINDOWS\system32\Process.exe
2006-08-20 00:45 42,496 C:\WINDOWS\system32\swreg.exe
2006-08-20 00:45 40,960 C:\WINDOWS\system32\swsc.exe
2006-08-20 00:45 288,417 C:\WINDOWS\system32\SrchSTS.exe
2006-08-13 17:24 182,784 C:\WINDOWS\system32\vbarchiv.dll
2006-07-29 16:36 57,384 C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-24 13:07 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Skype
2006-08-24 12:21 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-08-24 12:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-24 12:21 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-24 12:21 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\SUPERAntiSpyware.com
2006-08-24 00:31 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Help
2006-08-23 23:37 -------- d-------- C:\Programme\OCRANA-IRC
2006-08-23 22:33 -------- d-------- C:\Programme\ICQToolbar
2006-08-23 20:16 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\COPY TYPE LONG
2006-08-23 16:31 -------- d-------- C:\Programme\Internet Explorer
2006-08-23 15:52 -------- d-------- C:\Programme\ewido anti-spyware 4.0
2006-08-23 14:50 -------- d-------- C:\Programme\Sunbelt Software
2006-08-20 00:57 1883392 --a------ C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\CleanUp!.log
2006-08-20 00:53 -------- d-------- C:\Programme\CleanUp!
2006-08-18 20:18 -------- d-------- C:\Programme\WebWasher
2006-08-13 22:56 -------- d-------- C:\Programme\GameSpy Arcade
2006-08-13 22:39 -------- d-------- C:\Programme\Google
2006-08-13 21:01 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\coalprogrampart
2006-08-13 17:24 182784 --a------ C:\WINDOWS\system32\vbarchiv.dll
2006-08-13 01:18 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\teamspeak2
2006-08-12 21:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-12 09:08 -------- d-------- C:\Programme\Polygonsoft
2006-08-10 16:17 -------- d-------- C:\Programme\FileZilla
2006-08-04 23:46 -------- d-------- C:\Programme\MacroX
2006-08-03 14:03 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-02 15:25 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-02 15:25 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-07-29 16:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-07-29 16:24 -------- d-------- C:\Programme\Softwin
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-22 00:45 -------- d-------- C:\Programme\No-IP
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-20 20:23 -------- d-------- C:\Programme\Hamachi
2006-07-20 20:22 10345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-07-14 12:26 -------- d-------- C:\Programme\WinampNEU
2006-07-07 00:04 -------- d-------- C:\Programme\ICQLite
2006-07-05 16:46 -------- d-------- C:\Programme\Winamp2
2006-07-01 13:42 -------- dr------- C:\Programme\Spiele
2006-06-24 22:45 -------- d-------- C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\Real
2006-06-24 22:07 -------- d-------- C:\Programme\Real
2006-06-24 22:01 -------- d-------- C:\Programme\concept design
2006-05-25 01:22 53248 --a------ C:\WINDOWS\bdoscandel.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe /install"
"AVAUTODELETE"="\"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\AntiVir PersonalEdition Classic\\UPGRADE\\upgrade.exe\" /restart"
"WinampAgent"="C:\\Programme\\WinampNEU\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\MyWebSearch Email Plugin.lnk"
"backup"="C:\\WINDOWS\\pss\\MyWebSearch Email Plugin.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\1.bin\\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^Marvin^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk]
"path"="C:\\Dokumente und Einstellungen\\Marvin\\Startmenü\\Programme\\Autostart\\MyWebSearch Email Plugin.lnk"
"backup"="C:\\WINDOWS\\pss\\MyWebSearch Email Plugin.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\1.bin\\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\!ewido]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ewido"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\AdaptecDirectCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DirectCD"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Cmaudio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmicnfg"
"hkey"="HKLM"
"command"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mmtask.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MMTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mm_tray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\move thunk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CITY BOLT WIPE"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Marvin\\ANWEND~1\\COPYTY~1\\CITY BOLT WIPE.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSMSGS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMCTRAY"
"hkey"="HKCU"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"c:\\valve\\steam\\steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\SunServer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sunserver"
"hkey"="HKLM"
"command"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon


Completion time: 24.08.2006 14:08:30.40
ComboFix.txt
ComboFix2.txt
ComboFix3.txt
Seitenanfang Seitenende
24.08.2006, 14:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 1.
Gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen -

MyWebSearch Email Plugin -> loeschen + move thunk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\move thunk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupfolder\C:^Dokumente und Einstellungen^Marvin^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk

2.
loesche im abgesicherten Modus:

C:\Programme\OCRANA-IRC
C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\COPY TYPE LONG
C:\Dokumente und Einstellungen\Marvin\Anwendungsdaten\coalprogrampart

**
poste noch mal das log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 14:39
Member

Themenstarter

Beiträge: 20
#27 Also ich bin in dem Registrierungseditor und suche dann nach z.B.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\MSCONFIG\startupreg\move thunk

Dann kommt Dursuchen Der Registrierung ist beendet.

Und dann??
Seitenanfang Seitenende
24.08.2006, 21:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 suche nur nach: move thunk
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 16:32
Member

Themenstarter

Beiträge: 20
#29 Hab ich gemacht............
Seitenanfang Seitenende
28.08.2006, 21:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 dann poste das neue log von combofix ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende