Alle Wörter mit Spy.. verursachen ein beenden des Programms

#0
24.09.2006, 21:22
...neu hier

Beiträge: 9
#1 Hallo zusammen

Ich hoffe das mir jemand helfen kann!

Wenn ich im Internet nach spyware suchen will, wir der Browser nach ein paar sek. beendet. als ob ein scanner im Hintergrund nach bestimmten wörter sucht.
Alle Programme die irgend etwas mit Spy.. zu tun haben, ob es beim installieren oder beim Starten ist werden beendet.
Vielen Dank im Voraus Andi

Logfile of HijackThis v1.99.1
Scan saved at 21:21:08, on 21.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\007 Spy Software\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ewido\security suite\oldewido.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\A. Zwicker\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O1 - Hosts: roptimizer.comm
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programme\007 Spy Software\svchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GuruClock] C:\Programme\ABIT\ABIT uGuru\GuruClock.exe
O4 - HKCU\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - Startup: Verkn¸pfung mit Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzuf¸gen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterst¸tzen - {CE523613-30FB-41D4-A551-D762EF080466} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterst¸tzung f¸r xp-AntiSpy - {CE523613-30FB-41D4-A551-D762EF080466} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121084726687
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AE7695B-3C65-452A-8371-417C96105B95}: NameServer = 195.186.1.111,195.186.4.111
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Programme\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Unknown owner - C:\WINDOWS\system32\eTSrv.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Intel Alert Handler - Unknown owner - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe (file missing)
O23 - Service: Intel File Transfer - Unknown owner - C:\WINDOWS\system32\cba\xfr.exe (file missing)
O23 - Service: Intel PDS - Unknown owner - C:\WINDOWS\system32\cba\pds.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec System Center Discovery Service (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
Seitenanfang Seitenende
25.09.2006, 11:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2006, 20:42
...neu hier

Themenstarter

Beiträge: 9
#3 Danke für die Hilfe!
Mfg Andi

Verzeichnis von C:\WINDOWS\system32

25.09.2006 18:54 13'708 wpa.dbl
21.09.2006 16:42 377'104 perfh009.dat
21.09.2006 16:42 51'512 perfc009.dat
21.09.2006 16:42 388'046 perfh007.dat
21.09.2006 16:42 62'312 perfc007.dat
21.09.2006 16:42 888'276 PerfStringBackup.INI
05.09.2006 15:57 24'072 uxtuneup.dll
09.08.2006 17:02 1'024 pwdremover.dat

Verzeichnis von C:\DOKUME~1\AF1D5~1.ZWI\LOKALE~1\Temp

25.09.2006 20:24 109'520 MSI24279.LOG
25.09.2006 20:24 78 dw.log
25.09.2006 20:23 32'768 ~DF9EEE.tmp
25.09.2006 18:55 32'768 ~DFD1EF.tmp
4 Datei(en) 175'134 Bytes
0 Verzeichnis(se), 43'462'520'832 Bytes frei

Verzeichnis von C:\WINDOWS

25.09.2006 20:23 279 winhelp.ini
25.09.2006 20:11 311'982 setupapi.log
25.09.2006 18:56 159 wiadebug.log
25.09.2006 18:56 50 wiaservc.log
25.09.2006 18:54 2'048 bootstat.dat
24.09.2006 23:59 2'045'149 WindowsUpdate.log
21.09.2006 18:26 231 system.ini
21.09.2006 16:56 116 NeroDigital.ini
10.08.2006 15:50 756'872 ntbtlog.txt
10.08.2006 14:35 236 setupact.log
09.08.2006 14:45 3'299 KB921883.log

Verzeichnis von C:\

25.09.2006 20:37 0 sys.txt
25.09.2006 20:36 9'359 system.txt
25.09.2006 20:35 441 systemtemp.txt
25.09.2006 20:34 114'152 system32.txt
25.09.2006 20:33 540 c.txt
25.09.2006 20:32 666 Windows.txt
25.09.2006 20:31 441 temp.txt
25.09.2006 18:54 536'399'872 hiberfil.sys
25.09.2006 18:54 805'306'368 pagefile.sys
Seitenanfang Seitenende
25.09.2006, 23:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\007 Spy Software" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

Folders to delete:
C:\Programme\007 Spy Software
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O1 - Hosts: roptimizer.comm

O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programme\007 Spy Software\svchost.exe

O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)

PC neustarten

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

++
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

++
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.09.2006, 20:07
...neu hier

Themenstarter

Beiträge: 9
#5 Hallo Sabina

Leider kann ich den F-Secure BlackLight scanner nicht laufen lassen.
Nach dem Start des scanner erschein folgende abbruch Meldung.

Meldung:
F-Secure BlackLight could not acquire necessary privileges (SeDebugPrivilege).

-Your computer settings may prevent acquiring these privileges.
-A malicious programm might have disabled these privileges

Mfg Andi
Seitenanfang Seitenende
26.09.2006, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich habe doch die Anweisungen durchnummeriert und dann immer geschrieben, dass ich die logs sehen will.
arbeite erst mal die Punkte ab, dann sehen wir, was mit dem blacklight los ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 06:45
...neu hier

Themenstarter

Beiträge: 9
#7 Hallo Sabina

Noch die vermissten Logs
Mfg Andi

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Programme\007 Spy Software

19.02.2006 11:48 <DIR> .
19.02.2006 11:48 <DIR> ..
18.02.2006 21:59 163'328 svchost.exe
1 Datei(en) 163'328 Bytes
2 Verzeichnis(se), 43'480'170'496 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.03.2004 04:19 203'568 arclib.dll
17.05.2006 14:32 231'072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198'304 avsniffdlgs.dll
17.05.2006 14:26 537'704 AXXPEE.dll
17.05.2006 14:29 241 CabSA.inf
20.09.2006 01:00 2'504 catalog.dat
20.09.2006 01:00 6'899 ecbootil.vxd
17.05.2006 14:26 42'112 ecmldr32.dll
20.09.2006 01:00 272'040 ecmsvr32.dll
03.11.2005 21:24 495 LegitCheckControl.inf
26.05.2005 04:19 293 muweb.inf
17.05.2006 14:28 6'850 navapi.vxd
17.05.2006 14:28 201'896 navapi32.dll
20.09.2006 01:00 124'584 naveng32.dll
20.09.2006 01:00 882'344 navex32a.dll
17.05.2006 14:32 161'480 rufsi.dll
20.09.2006 01:00 97'552 scrauth.dat
22.06.2006 11:41 5'032 swflash.inf
20.09.2006 01:00 14 symaveng.cat
20.09.2006 01:00 901 symaveng.inf
20.09.2006 01:00 48'868 tcdefs.dat
20.09.2006 01:00 1'004'898 tcscan7.dat
20.09.2006 01:00 316'565 tcscan8.dat
20.09.2006 01:00 668'938 tcscan9.dat
20.09.2006 01:00 453 tinf.dat
20.09.2006 01:00 148 tinfidx.dat
20.09.2006 01:00 1'957 tinfl.dat
20.09.2006 01:00 59'385 tscan1.dat
20.09.2006 01:00 3'027 tscan1hd.dat
20.09.2006 01:00 5'116 v.grd
20.09.2006 01:00 2'261 v.sig
16.06.2005 04:08 1'223'187 vet.da1
08.06.2004 04:06 2'575'174 vet.dat
28.04.2005 10:21 745'543 vete.dll
20.09.2006 01:00 106'244 virscan.inf
20.09.2006 01:00 967'810 virscan1.dat
20.09.2006 01:00 569'778 virscan2.dat
20.09.2006 01:00 146'684 virscan3.dat
20.09.2006 01:00 320'186 virscan4.dat
20.09.2006 01:00 2'734'383 virscan5.dat
20.09.2006 01:00 389'317 virscan6.dat
20.09.2006 01:00 4'633'478 virscan7.dat
20.09.2006 01:00 1'598'279 virscan8.dat
20.09.2006 01:00 3'661'987 virscan9.dat
20.09.2006 01:00 32 virscant.dat
25.09.2006 19:30 2'072 vscanmsx.dat
25.03.2004 10:10 180'282 webscan.dll
11.03.2004 12:41 477 webscan.inf
20.09.2006 01:00 224 zdone.dat
50 Datei(en) 24'943'516 Bytes
0 Verzeichnis(se), 43'480'166'400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Programme\Common Files

10.03.2006 21:34 <DIR> .
10.03.2006 21:34 <DIR> ..
13.03.2005 14:35 <DIR> Motive
10.03.2006 21:34 <DIR> System
24.11.2005 00:31 <DIR> wkkz
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 43'480'166'400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6


Verzeichnis von C:\Program Files

10.03.2006 20:46 <DIR> .
10.03.2006 20:46 <DIR> ..
10.03.2006 20:46 <DIR> comsoft
06.03.2005 00:13 <DIR> InterActual
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 43'480'162'304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Dokumente und Einstellungen\A. Zwicker\Lokale Einstellungen\Temp

26.09.2006 19:25 <DIR> .
26.09.2006 19:25 <DIR> ..
26.09.2006 19:25 156 dw.log
25.09.2006 20:24 109'520 MSI24279.LOG
26.09.2006 19:25 109'442 MSI24dba.LOG
26.09.2006 19:25 109'520 MSI2de61.LOG
25.09.2006 20:36 441 temp.txt
25.09.2006 20:24 <DIR> VBE
26.09.2006 19:24 32'768 ~DF55FF.tmp
25.09.2006 20:23 32'768 ~DF9EEE.tmp
7 Datei(en) 394'615 Bytes
3 Verzeichnis(se), 43'480'162'304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\WINDOWS\Temp

26.09.2006 19:23 <DIR> .
26.09.2006 19:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 43'480'162'304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Temp

10.08.2006 16:54 <DIR> .
10.08.2006 16:54 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 43'480'162'304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Programme

10.08.2006 16:54 <DIR> .
10.08.2006 16:54 <DIR> ..
19.02.2006 11:48 <DIR> 007 Spy Software
24.02.2005 23:14 <DIR> A-Ray Scanner
10.08.2006 15:53 <DIR> a2
20.10.2005 09:23 <DIR> ABBYY FineReader 7.0 Professional Edition
10.08.2006 11:36 <DIR> ABBYY FineReader 8.0 Professional Edition
02.01.2006 19:07 <DIR> ABIT
07.11.2005 23:44 <DIR> Acesoft
16.10.2005 22:06 <DIR> Adobe
16.06.2005 21:52 <DIR> Ahead
24.02.2005 23:19 <DIR> Alcohol Soft
26.02.2005 11:49 <DIR> ALI
11.05.2006 20:04 <DIR> ALNO
22.02.2005 23:41 <DIR> AMD
25.02.2005 18:15 <DIR> AnswerWorks 4.0
25.02.2005 17:52 <DIR> Aspyr
25.02.2005 18:17 <DIR> AutoCAD 2004
25.02.2005 18:15 <DIR> Autodesk
22.02.2005 23:39 <DIR> AvRack
25.07.2005 20:09 <DIR> BitTorrent
13.03.2005 19:05 <DIR> Bluewin
09.04.2005 14:42 <DIR> Canon
13.03.2005 19:05 <DIR> Cayman
09.02.2006 22:35 <DIR> Citrix
25.09.2006 20:20 <DIR> CleanUp!
31.12.2005 12:25 <DIR> CloneCD 5 Profiler
26.02.2005 12:02 <DIR> ClonyXXL
10.03.2006 21:34 <DIR> Common Files
22.02.2005 23:30 <DIR> ComPlus Applications
06.11.2005 19:48 <DIR> Consistent Software
25.07.2005 21:00 <DIR> Corel
05.04.2005 12:44 <DIR> DAMN NFO Viewer
03.11.2005 18:44 <DIR> DeluxeBrowser
01.01.2006 15:39 <DIR> DiscScanX
26.02.2005 11:32 <DIR> dvdshrink23
20.07.2005 19:16 <DIR> Elaborate Bytes
25.11.2005 19:43 <DIR> ewido
16.10.2005 09:41 <DIR> FileMaker
24.01.2006 23:14 <DIR> Frozen-Bubble
25.02.2006 13:11 <DIR> GameJack 5
22.11.2005 23:46 <DIR> GameSpy Arcade
10.03.2006 21:23 <DIR> Gemeinsame Dateien
25.02.2005 17:22 <DIR> Hewlett-Packard
19.12.2005 23:30 <DIR> Internet Explorer
19.07.2005 20:45 <DIR> Java
01.06.2005 18:24 <DIR> Lavasoft
05.04.2005 11:38 <DIR> LimeWire
24.11.2005 20:08 <DIR> Macromedia
12.01.2006 23:35 <DIR> mdbetool
14.03.2005 23:07 <DIR> Messenger
25.02.2005 18:27 <DIR> Microsoft ActiveSync
22.02.2005 23:32 <DIR> microsoft frontpage
25.02.2005 22:53 <DIR> Microsoft Office
10.03.2006 21:34 <DIR> Microsoft Visual Studio
09.04.2005 23:04 <DIR> Microsoft Works
22.02.2005 23:55 <DIR> Microsoft.NET
10.07.2005 19:26 <DIR> MIKSOFT
13.03.2005 14:34 <DIR> Motive
22.02.2005 23:31 <DIR> Movie Maker
25.09.2006 20:21 <DIR> Mozilla Firefox
22.02.2005 23:30 <DIR> MSN
22.02.2005 23:30 <DIR> MSN Gaming Zone
22.02.2005 23:31 <DIR> NetMeeting
22.11.2005 23:45 <DIR> Netopia
09.04.2005 14:43 <DIR> NewSoft
25.02.2006 13:35 <DIR> Office Automation
11.05.2005 21:35 <DIR> OfficeUpdate11
22.02.2005 23:30 <DIR> Online Services
14.03.2005 23:43 <DIR> Online-Dienste
22.02.2005 23:31 <DIR> Outlook Express
09.05.2005 16:35 <DIR> Palo Alto Software
09.08.2006 16:56 <DIR> PDF Password Remover v2.5
14.06.2005 19:49 <DIR> PrintKey2000
10.04.2006 21:19 <DIR> Private Tax 2005
16.03.2005 19:45 <DIR> Project URL Snooper
16.03.2005 18:41 <DIR> Ratajik Software
22.02.2005 23:39 <DIR> Realtek Sound Manager
16.05.2005 20:21 <DIR> Roxio
31.12.2005 15:18 <DIR> SAMSUNG
09.04.2005 14:42 <DIR> ScanSoft
11.05.2005 21:55 <DIR> Secretmaker
23.08.2005 23:06 <DIR> Seri*hier nicht!* 2000 7.1 Plus
20.04.2005 12:28 <DIR> Siemens
22.03.2005 23:20 <DIR> SlySoft
10.07.2005 19:00 <DIR> Sony Ericsson
19.07.2005 21:19 <DIR> SPC
12.01.2006 19:25 <DIR> Spybot - Search & Destroy
10.08.2006 15:10 <DIR> SpyCatcher
10.08.2006 15:14 <DIR> Spyware Doctor
19.02.2006 12:40 <DIR> SpywareBlaster
13.08.2006 21:46 <DIR> SpywareGuard
22.11.2005 23:53 <DIR> Startup-Spy XP
07.11.2005 22:01 <DIR> Steganos Security Suite 6
16.03.2005 19:46 <DIR> StreamboxVcrSuite2
24.11.2005 19:40 <DIR> Symantec
26.09.2006 19:23 <DIR> Symantec AntiVirus
24.11.2005 19:46 <DIR> Symantec_Client_Security
11.07.2005 16:08 <DIR> TuneUp Utilities
21.09.2006 17:57 <DIR> TuneUp Utilities 2006
04.08.2006 18:33 <DIR> TWIXTEL
26.02.2005 11:36 <DIR> Visio
10.03.2006 21:23 <DIR> Web Publish
10.08.2006 15:53 <DIR> WebCraft
25.11.2005 19:49 <DIR> Webroot
05.03.2005 15:01 <DIR> WIDCOMM
22.02.2005 23:32 <DIR> Windows Media Player
22.02.2005 23:30 <DIR> Windows NT
16.03.2005 19:45 <DIR> WinPcap
03.11.2005 18:44 <DIR> WinRAR
16.05.2005 20:20 <DIR> WinZip
22.02.2005 23:32 <DIR> xerox
18.04.2005 11:36 <DIR> xp-AntiSpy
27.08.2005 21:14 <DIR> Zoom Player
0 Datei(en) 0 Bytes
114 Verzeichnis(se), 43'480'158'208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Dokumente und Einstellungen\A. Zwicker\Lokale Einstellungen\Anwendungsdaten

20.10.2005 08:57 <DIR> ABBYY
19.04.2005 09:31 <DIR> ABIT
23.02.2005 00:19 <DIR> Adobe
29.04.2005 06:19 <DIR> Ahead
19.04.2005 16:14 <DIR> ApplicationHistory
25.02.2005 18:15 <DIR> Autodesk
24.11.2005 23:12 18'432 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
17.04.2005 11:41 143 fusioncache.dat
10.03.2006 22:04 134'664 GDIPFONTCACHEV1.DAT
20.04.2005 10:26 <DIR> HaCon
01.11.2005 22:55 <DIR> Help
25.09.2005 10:08 <DIR> Identities
24.11.2005 20:05 <DIR> Macromedia
24.12.2005 14:42 <DIR> Microsoft
24.11.2005 19:41 <DIR> Symantec
3 Datei(en) 153'239 Bytes
12 Verzeichnis(se), 43'480'154'112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Dokumente und Einstellungen\A. Zwicker\Anwendungsdaten

25.07.2005 20:07 <DIR> .bittorrent
10.04.2006 21:21 <DIR> .Kanton ZH
20.10.2005 07:56 <DIR> ABBYY
20.06.2006 20:21 <DIR> Adobe
07.02.2006 22:20 <DIR> AdobeAUM
04.08.2006 18:07 <DIR> AdobeUM
16.06.2005 21:30 <DIR> Ahead
25.02.2005 18:18 <DIR> Autodesk
13.08.2006 21:25 <DIR> Canon
10.08.2006 16:22 <DIR> Citrix
01.01.2006 15:23 <DIR> ContentLauncher
29.04.2005 06:18 <DIR> Corel
06.03.2005 20:53 <DIR> DVD Shrink
16.10.2005 09:41 <DIR> FileMaker
20.04.2005 10:26 <DIR> HaCon
21.09.2006 17:51 <DIR> Help
10.08.2006 16:02 <DIR> ICAClient
22.02.2005 23:36 <DIR> Identities
04.06.2005 22:05 <DIR> Lavasoft
27.11.2005 20:23 <DIR> Macromedia
13.03.2005 14:47 <DIR> Motive
22.02.2005 23:50 <DIR> Mozilla
09.04.2005 14:43 <DIR> NewSoft
09.04.2005 14:50 <DIR> NSBackup
09.05.2005 16:36 <DIR> Palo Alto Software
26.11.2005 16:31 <DIR> PC Tools
09.04.2005 14:42 <DIR> ScanSoft
12.05.2005 22:08 <DIR> Secretmaker
16.10.2005 21:03 <DIR> Steganos Disk Encryption
16.10.2005 21:47 <DIR> Steganos Security Suite 6
19.05.2005 19:01 <DIR> Sun
22.02.2005 23:50 <DIR> Talkback
07.11.2005 23:56 <DIR> Tenebril
06.03.2005 13:21 <DIR> TuneUp Software
22.12.2005 23:06 <DIR> Webweaver
0 Datei(en) 0 Bytes
35 Verzeichnis(se), 43'480'154'112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

20.10.2005 08:57 <DIR> ABBYY
20.06.2006 21:26 <DIR> Adobe
16.06.2005 19:19 <DIR> Ahead
25.02.2005 18:14 <DIR> Autodesk
20.04.2005 10:26 <DIR> HaCon
24.11.2005 19:55 <DIR> Macromedia
23.02.2005 00:10 <DIR> Macrovision
07.07.2006 19:38 <DIR> MSScanAppDataDir
11.07.2005 09:31 <DIR> My Pictures
09.05.2005 16:35 <DIR> Palo Alto Software
11.04.2005 15:01 <DIR> ScanSoft
10.08.2006 15:14 <DIR> SecTaskMan
06.03.2005 00:25 <DIR> Sony Ericsson
21.11.2005 22:50 <DIR> Spybot - Search & Destroy
16.05.2005 11:29 <DIR> SSScanAppDataDir
16.05.2005 11:59 <DIR> SSScanWizard
24.11.2005 19:40 <DIR> Symantec
11.07.2005 15:46 <DIR> TuneUp Software
02.11.2005 18:20 <DIR> Windows Genuine Advantage
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 43'480'154'112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Programme\Gemeinsame Dateien

10.03.2006 21:23 <DIR> .
10.03.2006 21:23 <DIR> ..
16.05.2005 19:56 <DIR> Adobe
23.02.2005 00:10 <DIR> Adobe Systems Shared
05.04.2005 13:26 <DIR> Ahead
25.02.2005 18:15 <DIR> Autodesk Shared
06.11.2005 19:49 <DIR> Consistent Software
10.03.2006 21:22 <DIR> DESIGNER
22.02.2005 23:31 <DIR> Dienste
25.02.2005 17:22 <DIR> InstallShield
05.04.2005 11:34 <DIR> Java
25.02.2005 18:27 <DIR> L&H
24.11.2005 19:59 <DIR> Macromedia
24.11.2005 19:54 <DIR> Macromedia Shared
25.02.2005 18:15 <DIR> Macrovision Shared
10.03.2006 21:22 <DIR> Microsoft Shared
22.02.2005 23:31 <DIR> MSSoap
16.10.2005 09:41 <DIR> ODBC
09.05.2005 16:35 <DIR> Palo Alto Software
09.04.2005 14:42 <DIR> ScanSoft Shared
03.06.2002 14:46 <DIR> SpeechEngines
25.09.2006 20:21 <DIR> Symantec Shared
22.02.2005 23:54 <DIR> System
06.03.2005 00:26 <DIR> Teleca Shared
16.05.2005 19:56 <DIR> Vbox
31.12.2005 14:09 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
26 Verzeichnis(se), 43'480'150'016 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0C5-71C6

Verzeichnis von C:\Windows\tasks

03.11.2005 18:39 406 1-Klick-Wartung.job
1 Datei(en) 406 Bytes
0 Verzeichnis(se), 43'480'150'016 Bytes frei


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\idvruxwl

*******************

Script file located at: \??\C:\adbsurnb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\007 Spy Software deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
27.09.2006, 09:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8

Zitat

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O1 - Hosts: roptimizer.comm

O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programme\007 Spy Software\svchost.exe

O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)


PC neustarten


Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

++
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
poste das log
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

**
poste das log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 06:45
...neu hier

Themenstarter

Beiträge: 9
#9 Guten Morgen Sabina

Im Hijack This konnte ich keine Deiner zu löschenden Vorgaben finden.
Mfg Andi

1.Log
Logfile of HijackThis v1.99.1
Scan saved at 06:31:07, on 28.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\A. Zwicker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iojuksdm] C:\ogmoxcbx.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GuruClock] C:\Programme\ABIT\ABIT uGuru\GuruClock.exe
O4 - HKCU\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - Startup: Verknüpfung mit Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CE523613-30FB-41D4-A551-D762EF080466} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CE523613-30FB-41D4-A551-D762EF080466} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AE7695B-3C65-452A-8371-417C96105B95}: NameServer = 195.186.1.111,195.186.4.111
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Programme\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Unknown owner - C:\WINDOWS\system32\eTSrv.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Intel Alert Handler - Unknown owner - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe (file missing)
O23 - Service: Intel File Transfer - Unknown owner - C:\WINDOWS\system32\cba\xfr.exe (file missing)
O23 - Service: Intel PDS - Unknown owner - C:\WINDOWS\system32\cba\pds.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec System Center Discovery Service (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

2. Log
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 16.10.2005 21:40 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 16.10.2005 21:42 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet004\Services\vax347s\Config\jdgg40 28.09.2006 06:26 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Services\vax347s\Config\jdgg41 05.01.2006 20:30 0 bytes Hidden from Windows API.


3.Log
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Logfile created on: 28.09.2006 06:43:46
WinPFind v1.5.0 Folder = C:\Dokumente und Einstellungen\A. Zwicker\Eigene Dateien\Entvieren\WinPFind\
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600)
Internet Explorer (Version = 6.0.2900.2180)

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
WSUD 01.07.2004 12:22:58 15692800 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL (Realtek Semiconductor Corp.)
PEC2 04.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc ()
UPX! 24.07.2005 22:12:04 71168 C:\WINDOWS\SYSTEM32\ijl11pro.DLL (Intel Corporation)
PTech 04.11.2005 17:27:24 534280 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL (Microsoft® Corporation)
PEC2 17.06.1998 01:00:00 8015872 C:\WINDOWS\SYSTEM32\MFC42.PDB ()
PEC2 17.06.1998 01:00:00 3944448 C:\WINDOWS\SYSTEM32\MFC42D.PDB ()
PEC2 17.06.1998 01:00:00 7991296 C:\WINDOWS\SYSTEM32\MFC42U.PDB ()
PEC2 17.06.1998 01:00:00 3952640 C:\WINDOWS\SYSTEM32\MFC42UD.PDB ()
PEC2 17.06.1998 01:00:00 2052096 C:\WINDOWS\SYSTEM32\MFCD42D.PDB ()
PEC2 17.06.1998 01:00:00 2068480 C:\WINDOWS\SYSTEM32\MFCD42UD.PDB ()
PEC2 17.06.1998 01:00:00 1454080 C:\WINDOWS\SYSTEM32\MFCN42D.PDB ()
PEC2 17.06.1998 01:00:00 1462272 C:\WINDOWS\SYSTEM32\MFCN42UD.PDB ()
PEC2 17.06.1998 01:00:00 4395008 C:\WINDOWS\SYSTEM32\MFCO42D.PDB ()
PEC2 17.06.1998 01:00:00 4435968 C:\WINDOWS\SYSTEM32\MFCO42UD.PDB ()
PECompact2 09.12.2005 02:21:08 2723680 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
aspack 09.12.2005 02:21:08 2723680 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
aspack 04.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll (Microsoft Corporation)
WSUD 04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
Umonitor 04.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation)
winsync 04.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu ()

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

qoologic 07.11.2005 20:58:56 2065 C:\WINDOWS\SYSTEM32\drivers\etc\hosts.bak ()
urllogic 07.11.2005 20:58:56 2065 C:\WINDOWS\SYSTEM32\drivers\etc\hosts.bak ()
urllogic 07.11.2005 20:58:56 2065 C:\WINDOWS\SYSTEM32\drivers\etc\hosts.bak ()

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
28.09.2006 06:26:44 S 2048 C:\WINDOWS\bootstat.dat ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\02c77685ce606b339c354607d296d31e\BIT1B.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\053ec9ff115e3c833580e0d58576d4e0\BIT19.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0a4eefb808166b9b72f7032381233e23\BITC.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0bbefc09b675eaee969594c8bc669a65\BIT14.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1511e5d9bc8eba9dbdf362ac8a9a5d8e\BIT31.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1f6a401649b5ac1a17b59ef48fc43637\BIT16.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1f8edb55671ec67954c79fca71ff46fd\BIT18.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\21294b3f9029efe3a090da287612ac5b\BIT2A.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\25bf6aaebb49ca999c92078ffe7dbbad\BIT17.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30fa91459ab9a3ad7f972ab6112bef1f\BIT11.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\312e2c74d329dd6518a2be72e3caf9aa\BITE.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4d96fdb57d3e1bf280465f42abc8d228\BITF.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\51cea727ea3241a05dd6f17db4948970\BIT30.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\58b4c6530cb3a012eae8501110eadf86\BIT1F.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65098110faf2de9c0f49832920c97785\BIT15.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6d29b49edffe60d6e44adae147defc84\BIT27.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\73e34c8aafd4e705870836c010c53e4a\BIT1C.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\78fb0afae71c3fac4060f44f34c7d09a\BIT28.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a7fe7b11be70da6f632be917ee14b87\BIT10.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7bc9ebeb01afcf4d7a7b3a98e67eb8bd\BIT21.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8a65857b57a9f08f01ecba44dc12aa2a\BIT24.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9402213235eb5e3ad6f2e4593ea3f4f4\BIT23.tmp ()
09.08.2006 14:45:42 H 152639 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\964bc21a7c64a53168a44dd4ffbb9091\BITA.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\a2351793d8a4d4631956cdf7d377434c\BIT2C.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b258182f718cafd6d76ff787a561afaf\BIT13.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b954a053869480f23f2e66b1d069e353\BIT20.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bc2e9a7597099ea5db29ba3536794f11\BIT1A.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bcd824891ece1fc060d22a33beb94c9e\BIT12.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c00317b8c8e0df6a3ec11dd1001fcab0\BITB.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ce6e848d9c8a8f7ac6ff02e6b44bfb35\BIT2F.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d14c4d9cc2263902c7f193a5c0def7ed\BIT26.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d1e2630e2d9d3a052809c8d1f4ac451b\BIT29.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d2cb24144cc0d26bca3ea826b8b10a7e\BIT2E.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\da5384e50228c12bff9421dba46456f0\BIT2B.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\db6f0786b0bf0a65606d1e5fa5063631\BIT25.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ee6f424692df90e837a478a941a851c6\BIT1D.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5e799082d9eb6cb1306226c2e601fa8\BITD.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f6afc61a2b52820ce22082e39fa4f597\BIT1E.tmp ()
09.08.2006 14:45:26 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fda1bf6250621de672e5fad50260a810\BIT22.tmp ()
28.09.2006 06:43:14 H 1024 C:\WINDOWS\system32\config\default.LOG ()
28.09.2006 06:26:52 H 1024 C:\WINDOWS\system32\config\SAM.LOG ()
28.09.2006 06:28:22 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG ()
28.09.2006 06:43:50 H 1024 C:\WINDOWS\system32\config\software.LOG ()
28.09.2006 06:47:00 H 1024 C:\WINDOWS\system32\config\system.LOG ()
29.08.2006 11:51:42 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\0918fcee-cdd6-4fc7-b39c-226f50381889 ()
29.08.2006 11:51:42 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred ()

Checking for CPL files...
04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation)
01.07.2004 12:22:58 15692800 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL (Realtek Semiconductor Corp.)
04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation)
15.09.2003 17:54:18 245819 C:\WINDOWS\SYSTEM32\btcpl.cpl (WIDCOMM, Inc.)
04.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl (Microsoft Corporation)
04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation)
04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl (Microsoft Corporation)
04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation)
04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation)
04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation)
04.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation)
04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation)
03.06.2005 03:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl (Sun Microsystems, Inc.)
04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation)
04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation)
04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation)
04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl (Microsoft Corporation)
04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation)
14.02.2003 02:34:12 205472 C:\WINDOWS\SYSTEM32\plotman.cpl (Autodesk, Inc.)
04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation)
14.02.2003 02:34:14 205472 C:\WINDOWS\SYSTEM32\styleman.cpl (Autodesk, Inc.)
04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation)
04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation)
04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation)
04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl (Microsoft Corporation)
26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl (Microsoft Corporation)
04.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl (Microsoft Corporation)
04.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl (Microsoft Corporation)
04.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl (Microsoft Corporation)
04.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl (Microsoft Corporation)
04.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl (Microsoft Corporation)
04.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl (Microsoft Corporation)
04.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl (Microsoft Corporation)
04.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl (Microsoft Corporation)
04.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation)
04.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl (Microsoft Corporation)
04.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation)
04.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl (Microsoft Corporation)
04.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl (Microsoft Corporation)
04.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl (Microsoft Corporation)
04.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl (Microsoft Corporation)
04.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl (Microsoft Corporation)
04.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl (Microsoft Corporation)
04.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation)
04.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl (Microsoft Corporation)
04.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl (Microsoft Corporation)
26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl (Microsoft Corporation)

Checking for Downloaded Program Files...
Microsoft XML Parser for Java - - CodeBase = file://C:\WINDOWS\Java\classes\xmldso.cab

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
13.04.2005 17:18:44 H 1804 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk ()
23.02.2005 00:10:40 H 1936 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk ()
20.03.2005 13:50:14 H 681 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk ()
22.02.2005 23:32:50 H 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
14.06.2005 19:49:44 704 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk ()

Checking files in %ALLUSERSPROFILE%\Application Data folder...
03.06.2002 14:45:46 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini ()

Checking files in %USERPROFILE%\Startup folder...
22.02.2005 23:32:50 H 84 C:\Dokumente und Einstellungen\A. Zwicker\Startmenü\Programme\Autostart\desktop.ini ()
26.02.2005 11:39:56 H 642 C:\Dokumente und Einstellungen\A. Zwicker\Startmenü\Programme\Autostart\Verknüpfung mit Printkey2000.lnk ()

Checking files in %USERPROFILE%\Application Data folder...
03.06.2002 14:45:46 HS 62 C:\Dokumente und Einstellungen\A. Zwicker\Anwendungsdaten\desktop.ini ()

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

>>> Internet Explorer Settings <<<


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - about:blank
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - %SystemRoot%\system32\blank.htm

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - C:\WINDOWS\system32\blank.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
\\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
\\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
\\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\system32\shdocvw.dll (Microsoft Corporation)

>>> BHO's <<<
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

>>> Internet Explorer Bars, Toolbars and Extensions <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
\{182EC0BE-5110-49C8-A062-BEB1D02A220B} - Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
\{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
\{BDEADE7F-C265-11D0-BCED-00A0C90AB50F} - &Discuss = shdocvw.dll (Microsoft Corporation)
\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} - File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} - Explorer-Band = %SystemRoot%\system32\shdocvw.dll (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
\\{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint = C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\system32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\system32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping]
\\{92780B25-18CC-41C8-B9BE-3C9C571A8263} - 8192 =
\\NEXTID - 8200
\\{FB5F1910-F110-11d2-BB9E-00C04F795683} - 8193 =
\\{CCA281CA-C863-46ef-9331-5C8D4460577F} - 8196 =
\\{CE523613-30FB-41D4-A551-D762EF080466} - 8197 =
\\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 8198 =
\\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - 8199 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
\{92780B25-18CC-41C8-B9BE-3C9C571A8263} - ButtonText: Recherchieren =

>>> Approved Shell Extensions (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = ()
\\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = ()
\\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = ()
\\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = C:\WINDOWS\system32\hticons.dll (Hilgraeve, Inc.)
\\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = ()
\\{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} - Autoplay for SlideShow = ()
\\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = ()
\\{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} - Adobe.Acrobat.ContextMenu = C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll (Adobe Systems Inc.)
\\{32020A01-506E-484D-A2A8-BE3CF17601C3} - AlcoholShellEx = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll (Alcohol Soft Development Team)
\\{36A21736-36C2-4C11-8ACB-D4136F2B57BD} - AutoCAD Digital Signatures Icon Overlay Handler = C:\WINDOWS\system32\AcSignIcon.dll (Autodesk)
\\{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} - Autodesk Drawing Preview = C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll (Autodesk)
\\{506F4668-F13E-4AA1-BB04-B43203AB3CC0} - {506F4668-F13E-4AA1-BB04-B43203AB3CC0} = C:\Programme\Microsoft Office\Visio11\VISSHE.DLL ()
\\{D66DC78C-4F61-447F-942B-3FB6980118CF} - {D66DC78C-4F61-447F-942B-3FB6980118CF} = C:\Programme\Microsoft Office\Visio11\VISSHE.DLL ()
\\{A5110426-177D-4e08-AB3F-785F10B4439C} - Eigene Telefone = C:\Programme\Sony Ericsson\Mobile\File Manager\fmgrgui.dll (Sony Ericsson Mobile Communications AB)
\\{BDA77241-42F6-11d0-85E2-00AA001FE28C} - LDVP Shell Extensions = C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll (Symantec Corporation)
\\{B41DB860-8EE4-11D2-9906-E49FADC173CA} - WinRAR shell extension = C:\Programme\WinRAR\rarext.dll ()
\\ - = ()
\\{6af09ec9-b429-11d4-a1fb-0090960218cb} - My Bluetooth Places = C:\WINDOWS\system32\btneighborhood.dll (WIDCOMM, Inc.)
\\{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD} - CorelDRAW Shell Extension Component = C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll (Corel Corporation)
\\{6809E580-A3A7-11D1-9A00-00A0C945B006} - GoBack Shell Extension = ()
\\{AB77609F-2178-4E6F-9C4B-44AC179D937A} - a² Context Menu Shell Extension = C:\Programme\a2\a2contmenu.dll ()
\\{B7056B8E-4F99-44f8-8CBD-282390FE5428} - VirtualCloneDrive = C:\Programme\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll (Elaborate Bytes AG)
\\{00000000-0001-0001-0000-000000000000} - shredderse = ()
\\{9E4A8EC9-F49C-4A51-9844-D5D1F48577F9} - = ()
\\{2F24D25D-C818-40F3-9D75-EE447B8F38AE} - = ()
\\{C06915DB-B315-4503-B2FB-2B251790554D} - = ()
\\{A4C4F07F-7FD1-41DF-BE9A-EBAF2D92B051} - = ()
\\{CA2A79C8-A81E-4F8A-B731-6408BAAFBBED} - = ()
\\{81559C35-8464-49F7-BB0E-07A383BEF910} - = C:\Programme\SpywareGuard\spywareguard.dll ()
\\{B94E2601-D7A1-11d4-A1EE-444553540000} - PNAgent IconH = C:\Programme\Citrix\ICA Client\dpihand.dll (Citrix Systems, Inc.)
\\{44440D00-FF19-4AFC-B765-9A0970567D97} - TuneUp Theme Extension = %SystemRoot%\system32\uxtuneup.dll (TuneUp Software GmbH)
\\{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} - TuneUp Shredder Shell Extension = C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll (TuneUp Software GmbH)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

>>> Context Menu Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
\Adobe.Acrobat.ContextMenu - {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll (Adobe Systems Inc.)
\ewido - {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido\security suite\context.dll (ewido networks)
\LDVPMenu - {BDA77241-42F6-11d0-85E2-00AA001FE28C} = C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll (Symantec Corporation)
\TuneUp Shredder Shell Extension - {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} = C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll (TuneUp Software GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll ()

[HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers]
\ewido - {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido\security suite\context.dll (ewido networks)
\TuneUp Shredder Shell Extension - {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} = C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll (TuneUp Software GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll ()

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers]
\a2ContMenu - {AB77609F-2178-4E6F-9C4B-44AC179D937A} = C:\Programme\a2\a2contmenu.dll ()
\FineReader - {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F} = c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software))
\LDVPMenu - {BDA77241-42F6-11d0-85E2-00AA001FE28C} = C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll (Symantec Corporation)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll ()

>>> Column Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]

>>> Registry Run Keys <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
OpwareSE2 - C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe (ScanSoft, Inc.)
FineReader7NewsReaderPro - C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe (ABBYY (BIT Software))
ccApp - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
vptray - C:\PROGRA~1\SYMANT~2\VPTray.exe (Symantec Corporation)
BluetoothAuthenticationAgent - C:\WINDOWS\SYSTEM32\rundll32.exe (Microsoft Corporation)
iojuksdm - C:\ogmoxcbx.bat ()

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
GuruClock - C:\Programme\ABIT\ABIT uGuru\GuruClock.exe (ABIT Computer Corp.)
ABIT uGuru - C:\Programme\ABIT\ABIT uGuru\uGuru.exe (ABIT Computer Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

>>> Startup Links <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (WIDCOMM, Inc.)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk - C:\Programme\PrintKey2000\Printkey2000.exe (Fred's Software)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup]
C:\Dokumente und Einstellungen\A. Zwicker\Startmenü\Programme\Autostart\desktop.ini ()
C:\Dokumente und Einstellungen\A. Zwicker\Startmenü\Programme\Autostart\Verknüpfung mit Printkey2000.lnk - C:\Programme\PrintKey2000\Printkey2000.exe (Fred's Software)

>>> MSConfig Disabled Items <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[All Users Startup Folder Disabled Items]

[Current User Startup Folder Disabled Items]

>>> User Agent Post Platform <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
\\{B673F3F5-EB78-6C25-0486-CBB11E340AE5} - = ()

>>> AppInit Dll's <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs]

>>> Image File Execution Options <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
\Your Image File Name Here without a path - Debugger = ntsd -d

>>> Shell Service Object Delay Load <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
\\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll (Microsoft Corporation)
\\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll (Microsoft Corporation)
\\UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} = C:\WINDOWS\system32\upnpui.dll (Microsoft Corporation)

>>> Shell Execute Hooks <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation)
\\{54D9498B-CF93-414F-8984-8CE7FDE0D391} - CShellExecuteHookImpl Object = C:\Programme\ewido\security suite\shellhook.dll ()
\\{81559C35-8464-49F7-BB0E-07A383BEF910} - SpywareGuard.Handler = C:\Programme\SpywareGuard\spywareguard.dll ()

>>> Shared Task Scheduler <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\system32\browseui.dll (Microsoft Corporation)
\\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\system32\browseui.dll (Microsoft Corporation)

>>> Winlogon <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
\\UserInit = C:\WINDOWS\system32\userinit.exe,
\\Shell = Explorer.exe
\\System =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
\crypt32chain - crypt32.dll = (Microsoft Corporation)
\cryptnet - cryptnet.dll = (Microsoft Corporation)
\cscdll - cscdll.dll = (Microsoft Corporation)
\NavLogon - C:\WINDOWS\system32\NavLogon.dll = (Symantec Corporation)
\ScCertProp - wlnotify.dll = (Microsoft Corporation)
\Schedule - wlnotify.dll = (Microsoft Corporation)
\sclgntfy - sclgntfy.dll = (Microsoft Corporation)
\SensLogn - WlNotify.dll = (Microsoft Corporation)
\termsrv - wlnotify.dll = (Microsoft Corporation)
\wlballoon - wlnotify.dll = (Microsoft Corporation)
\WRNotifier - WRLogonNTF.dll = ()

>>> DNS Name Servers <<<
{0E9B945A-2ADC-4707-BE73-F78B828662D0} - ()
{1C21F30F-A77B-470D-ACBE-3919635890AA} - ()
{387E09B1-70D1-4ED0-A2C4-D1D35C17125D} - ()
{4AE7695B-3C65-452A-8371-417C96105B95} - 195.186.1.111,195.186.4.111 (VIA Networking Velocity Family Giga-bit Ethernet Adapter)
{5FE0308B-41A2-4F5D-ADFC-8E8DA720DF1C} - ()
{7A5322BE-6607-40FC-96D5-CF5A291DFC35} - ()
{9B7961A1-9E88-46C1-836E-87BB0725E856} - ()
{BCD2FA72-5A65-4170-9FF2-98D106C4B50D} - ()
{BCE1D217-760F-4424-8A3A-D069F03B3CB0} - ()
{EAC3F055-9146-4474-A30B-E805AF05295B} - (Siemens Gigaset PCI Card 54)

>>> All Winsock2 Catalogs <<<
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
\000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation)
\000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000004\\LibraryPath - %SystemRoot%\System32\nwprovau.dll (Microsoft Corporation)
\000000000005\\LibraryPath - %SystemRoot%\system32\wshbth.dll (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
\000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000004\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000005\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000006\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000010\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000011\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000020\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000021\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000022\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000023\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000024\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000025\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000026\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000027\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000028\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000029\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000030\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000031\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000032\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000033\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000034\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000035\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)

>>> Protocol Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler]
\ipp - ()
\msdaipp - ()

>>> Protocol Filters (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

>>> Selected AddOn's <<<


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Seitenanfang Seitenende
28.09.2006, 08:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Zababa

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

--------------------------------------------------------------

**
rechtsklick - oeffnen mit - Texteditor - kopiere ab, was drinsteht
C:\WINDOWS\SYSTEM32\drivers\etc\hosts.bak
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 18:08
...neu hier

Themenstarter

Beiträge: 9
#11 Hallo Sabina

Vielen Dank für Deine Hilfe
Mfg Andi

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
127.0.0.1 www.qoolaid.com
127.0.0.1 www.qoologic.com
127.0.0.1 www.CLKPrecision.com
127.0.0.1 www.urllogic.com
127.0.0.1 www.clkoptimizer.com
127.0.0.1 www.isearch.com
127.0.0.1 isearch.com
127.0.0.1 www.idownload.com
127.0.0.1 idownload.com
127.0.0.1 www.mytotalsearch.com
127.0.0.1 mytotalsearch.com
127.0.0.1 www.lop.com
127.0.0.1 lop.com
127.0.0.1 www.websearch.com
127.0.0.1 websearch.com
127.0.0.1 www.page-not-found.net
127.0.0.1 page-not-found.net
127.0.0.1 www.isearchhere.com
127.0.0.1 isearchhere.com
127.0.0.1 xads.offeroptimizer.comm
127.0.0.1 search.offeroptimizer.com
127.0.0.1 ximages.offeroptimizer.com
127.0.0.1 xlime.offeroptimizer.com
127.0.0.1 xadsj-o.offeroptimizer.com
127.0.0.1 xadsj.offeroptimizer.com
127.0.0.1 www.offeroptimizer.com
127.0.0.1 as.adwave.com
127.0.0.1 sr.adwave.com
127.0.0.1 www.adwave.com
127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
127.0.0.1 www.pacimedia.com
Seitenanfang Seitenende
29.09.2006, 00:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ja ja...das hatte ich vermutet...

««
C:\WINDOWS\SYSTEM32\drivers\etc\hosts.bak

lasse nur 127.0.0.1 localhost
alles andere rausloeschen !


««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
fixme.reg anwenden - siehe oben

PC neustarten

**
berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 19:01
...neu hier

Themenstarter

Beiträge: 9
#13 Hallo Sabina

Ich kann auf jedenfall wieder nach Spy.... suchen;-) ohne das, dass Programm beendet wird.

Danach habe ich versucht F-Secure BlackLight scanner laufen zu lassen, leider ohne erfolg! Die Message ist die selbe wie vorher.

Meldung:
F-Secure BlackLight could not acquire necessary privileges (SeDebugPrivilege).

-Your computer settings may prevent acquiring these privileges.
-A malicious programm might have disabled these privileges

hosts.bak sieht so aus:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Mfg Andi
Seitenanfang Seitenende
29.09.2006, 23:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 die hosts ist nun wieder in Ordnung

1.
Look2Me-Destroyer V1.0.5 - scanne
http://virus-protect.org/l2mfix.html

2.
dann wende noch mal den blacklight an
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2006, 11:31
...neu hier

Themenstarter

Beiträge: 9
#15 Ciao Sabina

:-) Der Destroyer hat ganze Arbeit geleistet. Beim blacklight sind auch keine verborgenen Prozesse zum vorschein gekommen.
Was mein Dein geschultes Auge?

Jedenfalls vielen Dank für die Hilfe, hast mir eine menge Arbeit erspart:-))
Mfg Andi

1.Log
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 30.09.2006 11:03:01


Attempting to delete infected files...

Making registry repairs.


Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9E4A8EC9-F49C-4A51-9844-D5D1F48577F9}"
HKCR\Clsid\{9E4A8EC9-F49C-4A51-9844-D5D1F48577F9}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2F24D25D-C818-40F3-9D75-EE447B8F38AE}"
HKCR\Clsid\{2F24D25D-C818-40F3-9D75-EE447B8F38AE}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C06915DB-B315-4503-B2FB-2B251790554D}"
HKCR\Clsid\{C06915DB-B315-4503-B2FB-2B251790554D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A4C4F07F-7FD1-41DF-BE9A-EBAF2D92B051}"
HKCR\Clsid\{A4C4F07F-7FD1-41DF-BE9A-EBAF2D92B051}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{CA2A79C8-A81E-4F8A-B731-6408BAAFBBED}"
HKCR\Clsid\{CA2A79C8-A81E-4F8A-B731-6408BAAFBBED}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{81559C35-8464-49F7-BB0E-07A383BEF910}"
HKCR\Clsid\{81559C35-8464-49F7-BB0E-07A383BEF910}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

2.Log
09/30/06 11:24:06 [Info]: BlackLight Engine 1.0.47 initialized
09/30/06 11:24:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/30/06 11:24:07 [Note]: 7019 4
09/30/06 11:24:07 [Note]: 7005 0
09/30/06 11:25:00 [Note]: 7006 0
09/30/06 11:25:00 [Note]: 7011 1668
09/30/06 11:25:00 [Note]: 7026 0
09/30/06 11:25:00 [Note]: 7026 0
09/30/06 11:25:05 [Note]: FSRAW library version 1.7.1020
09/30/06 11:30:23 [Note]: 2000 1012
09/30/06 11:30:23 [Note]: 2000 1012
09/30/06 11:30:23 [Note]: 2000 1012
09/30/06 11:30:23 [Note]: 2000 1012
09/30/06 11:30:38 [Note]: 7007 0
Seitenanfang Seitenende