doppelte IEXPLORE.EXE im Taskmanager/Prozesse

#1 Hallo Protecus.de-Forumteam,
Ich habe im Forum gelesen, das im Fall einer doppelten IEXPLORE.EXE man das Programm Hijackthis scannen lassen soll. Ich habe dies getan und hier ist die logfile:

Logfile of HijackThis v1.99.0
Scan saved at 05:23:10, on 05.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\SPAMfighter\SFAgent.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\iTunes\iTunesHelper.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
G:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe

Ich benutze den Internet Explorer ganz selten, eigentlich immer den Firfox-Browser.
Kann mir jemand helfen?

#2 ein interessantes log - nur die Haelfte .........

1.
arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/nolop.html

2.
poste noch mal das komplette log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 NoLop! Log by Skate_Punk_21

Fix running from: C:\Dokumente und Einstellungen\Fränk\Desktop
[05.10.2006]
[15:20:10]

---Infection Files Found/Removed---
C:\Dokumente und Einstellungen\Fränk\Anwendungsdaten\SHOWWIPE\Bend size default.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ArmyDeleteWebUp\TeamLoad.exe
C:\Dokumente und Einstellungen\Fränk\Anwendungsdaten\SHOWWIPE\jnhldzvz.exe
C:\WINDOWS\tasks\A86D19D9919A96D9.job

Beginning Removal...
Rebooting...
Removing Lop's Leftover Files/Folders...
Editing Registry...
**Fix Complete!**

---Listing AppData sub directories---

C:\Dokumente und Einstellungen\Fränk\Application Data\Microsoft



Nach dem Ausführen des NoLop-Programms sind die 2 IEXPLORER.EXE im Taskmanager verschwunden. Danke Super!!!!
Vorher hat sich auch immer ein Spywarefenster geöffnet, wenn ich den IE-Browser oder den Firefox-Browser geöffnet habe. Spybot-Search&Destroy und Ad-Aware haben das nicht wegbekommen. Das ist nun auch verschwunden. Prima!!! Werde Euer Forum weiterempfehlen.
Aber der Rechner läuft immernoch so langsam wie vorher, wo die 2 noch da waren. Die eine IEXPLORE.EXE hatte im Taskmanager viel Ressourcen gefressen (54,567k Speicherauslastung).

Hier noch die komplette HijackThis - Log, aber die nach dem Ausführen von NoLop.

Logfile of HijackThis v1.99.0
Scan saved at 15:51:24, on 05.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\SPAMfighter\SFAgent.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
G:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Fränk\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [ICQ Lite] "f:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: DE|EN - C:\Programme\googleTranslator\de_en.htm
O8 - Extra context menu item: DE|FR - C:\Programme\googleTranslator\de_fr.htm
O8 - Extra context menu item: EN|DE - C:\Programme\googleTranslator\en_de.htm
O8 - Extra context menu item: EN|ES - C:\Programme\googleTranslator\en_es.htm
O8 - Extra context menu item: EN|FR - C:\Programme\googleTranslator\en_fr.htm
O8 - Extra context menu item: EN|IT - C:\Programme\googleTranslator\en_it.htm
O8 - Extra context menu item: EN|JA - C:\Programme\googleTranslator\en_ja.htm
O8 - Extra context menu item: EN|KO - C:\Programme\googleTranslator\en_ko.htm
O8 - Extra context menu item: EN|PT - C:\Programme\googleTranslator\en_pt.htm
O8 - Extra context menu item: EN|zh-CN - C:\Programme\googleTranslator\en_zh-CN.htm
O8 - Extra context menu item: ES|EN - C:\Programme\googleTranslator\es_en.htm
O8 - Extra context menu item: FR|DE - C:\Programme\googleTranslator\fr_de.htm
O8 - Extra context menu item: FR|EN - C:\Programme\googleTranslator\fr_en.htm
O8 - Extra context menu item: IT|EN - C:\Programme\googleTranslator\it_en.htm
O8 - Extra context menu item: JA|EN - C:\Programme\googleTranslator\ja_en.htm
O8 - Extra context menu item: KO|EN - C:\Programme\googleTranslator\ko_en.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PT|EN - C:\Programme\googleTranslator\pt_en.htm
O8 - Extra context menu item: zh-CN|EN - C:\Programme\googleTranslator\zh-CN_en.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123857006078
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BFD42D8-AAF4-4F62-852B-4E2CB2916FB7}: NameServer = 192.168.178.1
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL
O23 - Service: AntiVir Mail Security Service - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) - Unknown - F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) - Unknown - F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper - Nero AG - G:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#4 poste bitte das komplette log von HijackThus
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Das ist doch das komplette. Ich habe die hijackthis.log geöffnet und komplett markiert und hierher kopiert.

Ich hatte die hijack.log von vor dem Ausführen von NoLop doch noch gespeichert hier ist sie komplett:

Logfile of HijackThis v1.99.0
Scan saved at 05:23:10, on 05.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\SPAMfighter\SFAgent.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\iTunes\iTunesHelper.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
G:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Fränk\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=4
00010&utm_content=leftnav&utm_
source=efc&utm_medium=bund&utm_campaign=efc0605
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8255B7F3-2F8E-1049-3B43-D4ECEF45DDCF} - C:\DOKUME~1\FRNK~1\ANWEND~1\MFCDUS~1\Knob Roam.exe (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [ICQ Lite] "f:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LINK FOUR] C:\DOKUME~1\FRNK~1\ANWEND~1\SHOWWIPE\MetaForkDent.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: DE|EN - C:\Programme\googleTranslator\de_en.htm
O8 - Extra context menu item: DE|FR - C:\Programme\googleTranslator\de_fr.htm
O8 - Extra context menu item: EN|DE - C:\Programme\googleTranslator\en_de.htm
O8 - Extra context menu item: EN|ES - C:\Programme\googleTranslator\en_es.htm
O8 - Extra context menu item: EN|FR - C:\Programme\googleTranslator\en_fr.htm
O8 - Extra context menu item: EN|IT - C:\Programme\googleTranslator\en_it.htm
O8 - Extra context menu item: EN|JA - C:\Programme\googleTranslator\en_ja.htm
O8 - Extra context menu item: EN|KO - C:\Programme\googleTranslator\en_ko.htm
O8 - Extra context menu item: EN|PT - C:\Programme\googleTranslator\en_pt.htm
O8 - Extra context menu item: EN|zh-CN - C:\Programme\googleTranslator\en_zh-CN.htm
O8 - Extra context menu item: ES|EN - C:\Programme\googleTranslator\es_en.htm
O8 - Extra context menu item: FR|DE - C:\Programme\googleTranslator\fr_de.htm
O8 - Extra context menu item: FR|EN - C:\Programme\googleTranslator\fr_en.htm
O8 - Extra context menu item: IT|EN - C:\Programme\googleTranslator\it_en.htm
O8 - Extra context menu item: JA|EN - C:\Programme\googleTranslator\ja_en.htm
O8 - Extra context menu item: KO|EN - C:\Programme\googleTranslator\ko_en.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PT|EN - C:\Programme\googleTranslator\pt_en.htm
O8 - Extra context menu item: zh-CN|EN - C:\Programme\googleTranslator\zh-CN_en.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123857006078
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BFD42D8-AAF4-4F62-852B-4E2CB2916FB7}: NameServer = 192.168.178.1
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL
O23 - Service: AntiVir Mail Security Service - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) - Unknown - F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) - Unknown - F:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper - Nero AG - G:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#6 Fränk268

anwenden
WinsockFix (Fuer alle Betriebssysteme) WindowsXP - laden
http://www.winsockfix.nl/

««
wende cleanup an
http://virus-protect.org/cleanup.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Accoona
HKEY_CLASSES_ROOT\CLSID\{944864A5-3916-46E2-96A9-A2E84F3F1208}
HKEY_CLASSES_ROOT\CLSID\{F80C1D93-0D22-436e-963E-9D3156997A4E}
HKEY_CLASSES_ROOT\Interface\{6C8AB177-7B09-4F5C-9E6D-82EAA765430C}
HKEY_CLASSES_ROOT\TypeLib\{EA3956D2-EC38-41AB-B601-47AA281E4952}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{364B6276-C6C1-40B6-A6D7-6C48871FD707}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{944864A5-3916-46E2-96A9-A2E84F3F1208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Accoona Search Assistant

Folders to delete:
C:\Programme\Accoona

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_
source=efc&utm_medium=bund&utm_campaign=efc0605

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O1 - Hosts: 80.190.241.30 home.edonkey.com

O2 - BHO: (no name) - {8255B7F3-2F8E-1049-3B43-D4ECEF45DDCF} - C:\DOKUME~1\FRNK~1\ANWEND~1\MFCDUS~1\Knob Roam.exe (file missing)

O4 - HKCU\..\Run: [LINK FOUR] C:\DOKUME~1\FRNK~1\ANWEND~1\SHOWWIPE\MetaForkDent.exe

O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - d:\PROGRA~1\BT2Net\BT2PLU~1.DLL

PC neustarten

»»
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

»»
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

»»
scanne, stelle nach dem scan alles auf remove und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Bei dem 1. Fenster (Windows kein Datenträger) gibts 3 Button:

Abbrechen, Wiederholen, Weiter


Hier mein Ausdruck von meinem momentanen Taskmanager. (Datei angehangen)

#8 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

____________________________________________________________

1. ich kann das doc-Dokument auf meinem Rechner nicht lesen.
2. du hast dir den rechner durch P2P-Software. [edonkey u.a.) zerschossen
3. wende Counterspy und alles andere an, was ich geschrieben habe und poste den report vom Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit

#9 um die cmd-Fehlermeldung zu beseitigen, poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
dann arbeite ab, was ich weiter oben beschrieben habe
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Bin jetzt wieder am Rechner.

Habe CleanUP nochmals überprüft. Er war so eingestellt wie du beschrieben hast.
Hab ihn nochmal laufen lassen.
Ich kann dir den Inhalt des CleanUp Sichtfensters nach dem Durchlaufen schicken.
Aber was meinst du mit 6 Textdateien und von welchen 3 Monaten. CleanUp zeigt doch nur den letzten (heutigen) Durchlauf an.

CleanUp! started on 10/06/06 16:16:29.
.
C:\WINDOWS\temp\HP003007.PDL - deleted
C:\WINDOWS\temp\HP003008.PDL - deleted
C:\WINDOWS\temp\HP003009.PDL - deleted
C:\WINDOWS\temp\HP00300A.PDL - deleted
C:\WINDOWS\temp\HP004000.IDX - deleted
C:\WINDOWS\temp\netfxsl.log - deleted
C:\WINDOWS\temp\netfxupdate.log - deleted
C:\WINDOWS\temp\NoLop!RegFileName.ref - deleted
C:\WINDOWS\temp\Perflib_Perfdata_8d0.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_8e4.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_a58.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_ca0.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_fcc.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_ff0.dat - deleted
C:\WINDOWS\temp\plf4.tmp - deleted
C:\WINDOWS\temp\profiles.ref - deleted
C:\WINDOWS\temp\Upd115.tmp - deleted
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\WINDOWS\temp\WFTVFMNT\data1.cab - deleted
C:\WINDOWS\temp\WFTVFMNT\data1.hdr - deleted
C:\WINDOWS\temp\WFTVFMNT\data2.cab - deleted
C:\WINDOWS\temp\WFTVFMNT\ikernel.ex_ - deleted
C:\WINDOWS\temp\WFTVFMNT\layout.bin - deleted
C:\WINDOWS\temp\WFTVFMNT\SETUP.BMP - deleted
C:\WINDOWS\temp\WFTVFMNT\Setup.exe - deleted
C:\WINDOWS\temp\WFTVFMNT\Setup.ini - deleted
C:\WINDOWS\temp\WFTVFMNT\setup.inx - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\data1.cab - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\data1.hdr - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\data2.cab - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\ikernel.ex_ - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\layout.bin - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\SETUP.BMP - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\Setup.exe - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\Setup.ini - deleted
C:\WINDOWS\temp\WFTVFMNT\AP\setup.inx - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@2o7[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@50eurobuch[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@adtech[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@apmebf[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@as1.falkag[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@ayb.dns-look-up[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@bb[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@emjcd[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@forum.firstload[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@google[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@google[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@icq[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@ivwbox[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@n19699.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@nana.co[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@netsearchsoft[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@o5682.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@partygaming.122.2o7[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@partypoker[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@passion[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@q26830.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@rambler[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@t-online[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@tradedoubler[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@uyeler.mynet[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.derclub[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.viking[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.viking[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.zanox-affiliate[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@yahoo[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@2o7[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@50eurobuch[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@adtech[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@apmebf[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@as1.falkag[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@ayb.dns-look-up[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@bb[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@emjcd[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@forum.firstload[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@google[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@google[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@icq[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@ivwbox[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@n19699.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@nana.co[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@netsearchsoft[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@o5682.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@partygaming.122.2o7[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@partypoker[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@passion[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@q26830.upd.trinityacquisitions[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@rambler[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@t-online[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@tradedoubler[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@uyeler.mynet[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.derclub[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.viking[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.viking[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@www.zanox-affiliate[1].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\fränk@yahoo[2].txt - deleted
C:\Dokumente und Einstellungen\Fränk\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
C:\WINDOWS\Prefetch\AGENTSVR.EXE-002E45AB.pf - deleted
C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf - deleted
C:\WINDOWS\Prefetch\AVGNT.EXE-21C88BAE.pf - deleted
C:\WINDOWS\Prefetch\AVMAILC.EXE-16E0BD62.pf - deleted
C:\WINDOWS\Prefetch\AVMCDLG.EXE-04226AFE.pf - deleted
C:\WINDOWS\Prefetch\BEND SIZE DEFAULT.EXE-224B2FD3.pf - deleted
C:\WINDOWS\Prefetch\BTSTAC~1.EXE-107F6948.pf - deleted
C:\WINDOWS\Prefetch\BTTRAY.EXE-010AC7D8.pf - deleted
C:\WINDOWS\Prefetch\CLCAPSVC.EXE-20587BC2.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted
C:\WINDOWS\Prefetch\CLMLSERVER.EXE-179EC841.pf - deleted
C:\WINDOWS\Prefetch\CLMLSERVICE.EXE-037EBCA2.pf - deleted
C:\WINDOWS\Prefetch\CLONECDTRAY.EXE-19299096.pf - deleted
C:\WINDOWS\Prefetch\CLSCHED.EXE-02EBA091.pf - deleted
C:\WINDOWS\Prefetch\DATALAYER.EXE-08722F91.pf - deleted
C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf - deleted
C:\WINDOWS\Prefetch\FIREFOX.EXE-3425AEB8.pf - deleted
C:\WINDOWS\Prefetch\FLASHGOT.EXE-040AE019.pf - deleted
C:\WINDOWS\Prefetch\GETPOPUPINFO.EXE-0D9AB107.pf - deleted
C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf - deleted
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-38FD4D92.pf - deleted
C:\WINDOWS\Prefetch\HPOAPM07.EXE-23CF726E.pf - deleted
C:\WINDOWS\Prefetch\HPOAVN07.EXE-1F33EA0C.pf - deleted
C:\WINDOWS\Prefetch\HPOEVM07.EXE-32DD383C.pf - deleted
C:\WINDOWS\Prefetch\HPOFLT07.EXE-1297F2EB.pf - deleted
C:\WINDOWS\Prefetch\HPOFXM07.EXE-0422D669.pf - deleted
C:\WINDOWS\Prefetch\HPOIPM07.EXE-3AF48DC8.pf - deleted
C:\WINDOWS\Prefetch\HPOSDN07.EXE-0B574E6A.pf - deleted
C:\WINDOWS\Prefetch\HPOSTS07.EXE-35F931B2.pf - deleted
C:\WINDOWS\Prefetch\HPZENG04.EXE-129A6FF3.pf - deleted
C:\WINDOWS\Prefetch\ICQLITE.EXE-27EB5A87.pf - deleted
C:\WINDOWS\Prefetch\IEXPLORE.EXE-0DFD7EC0.pf - deleted
C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted
C:\WINDOWS\Prefetch\INCD.EXE-14A586A0.pf - deleted
C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf - deleted
C:\WINDOWS\Prefetch\ITUNESHELPER.EXE-0B1A301E.pf - deleted
C:\WINDOWS\Prefetch\JUSCHED.EXE-2E5491BE.pf - deleted
C:\WINDOWS\Prefetch\LAUNCHAPPLICATION.EXE-0D15AD48.pf - deleted
C:\WINDOWS\Prefetch\Layout.ini - deleted
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted
C:\WINDOWS\Prefetch\MDM.EXE-27F66238.pf - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
C:\WINDOWS\Prefetch\NVSVC32.EXE-1F9EED18.pf - deleted
C:\WINDOWS\Prefetch\OUTLOOK.EXE-390C7E6B.pf - deleted
C:\WINDOWS\Prefetch\PHOTOSNAPVIEWER.EXE-00DA7E98.pf - deleted
C:\WINDOWS\Prefetch\READER_SL.EXE-36135169.pf - deleted
C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf - deleted
C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1340EF7F.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1857459C.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-1EFDD296.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-35A483DA.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-415F88EC.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted
C:\WINDOWS\Prefetch\SERVIC~1.EXE-22757822.pf - deleted
C:\WINDOWS\Prefetch\SFAGENT.EXE-06C1AB5D.pf - deleted
C:\WINDOWS\Prefetch\SHOWTIME.EXE-3B575162.pf - deleted
C:\WINDOWS\Prefetch\SKYPE.EXE-21F19BC8.pf - deleted
C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf - deleted
C:\WINDOWS\Prefetch\SYSTRAY.EXE-345DCC1C.pf - deleted
C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted
C:\WINDOWS\Prefetch\TEAMLOAD.EXE-067380EC.pf - deleted
C:\WINDOWS\Prefetch\TOTALCMD.EXE-099BD36C.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted
C:\WINDOWS\Prefetch\WDFMGR.EXE-2CF4013B.pf - deleted
C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted
C:\WINDOWS\Prefetch\WINWORD.EXE-0763EDA3.pf - deleted
C:\WINDOWS\Prefetch\WINZIP32.EXE-2DC203D5.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf - deleted
C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted
C:\temp\sims2nocdcrk.exe - deleted
F:\tmp\dance21thmir2.rar - deleted
F:\tmp\dance21thmir2\dance21thmir2.flp - deleted
G:\tmp\clonecd.zip - deleted
G:\tmp\SetupCloneCD5261.exe - deleted
G:\tmp\winzip.exe - deleted
G:\tmp\Slysoft.exe - deleted
G:\tmp\audio180\setup.exe - deleted
'Run MRU' list - removed from the registry.
'Doc Find Spec MRU' list - removed from the registry.
'FindComputerMRU' list - removed from the registry.
'ComputerNameMRU' list - removed from the registry.
'ContainingTextMRU' list - removed from the registry.
'FilesNamedMRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
Windows Media Player Recent File List - removed from the registry.
WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 709.6 MB of disk space from 10107 files.
CleanUp! finished on 10/06/06 16:17:05.


Ich habe deine Anwendungen von Gestern durchgeführt bis zu Hosterzip.
Soll ich jetzt Hoster noch ausführen oder gleich Counterspy anwenden?

#11 um die cmd-Fehlermeldung zu beseitigen, poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

alles andere spaeter........
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Habe dir die Textdatei von combofix als private Nachricht schon geschickt.
Ich kann ja im Forum nur dann Antworten wenn ich von Euch eine habe. Drum macher ich dann es immer als private Nachricht. Denn das geht immer.

Zitat

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\winsys.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-06 to 2006-10-06 ))))))))))))))))))))))))))))))))))


2006-10-01 18:48 49,536 --a------ C:\WINDOWS\system32\drivers\ousb2hub.sys
2006-10-01 18:48 34,176 --a------ C:\WINDOWS\system32\drivers\ousbehci.sys
2006-10-01 18:45 17,024 --a------ C:\WINDOWS\system32\drivers\usbohci.sys
2006-09-28 20:36 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2006-09-28 20:36 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2006-09-24 19:15 20,096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-06 16:22 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\Skype
2006-10-05 16:36 -------- d-------- C:\Programme\CleanUp!
2006-10-05 15:23 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\SHOWWIPE
2006-10-04 21:43 -------- d-------- C:\Programme\iPod
2006-10-04 21:37 -------- d-------- C:\Programme\Apple Software Update
2006-10-04 20:32 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\dvdcss
2006-10-01 18:49 -------- d-------- C:\Programme\VIA Technologies, INC
2006-09-29 19:20 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\Nokia Multimedia Player
2006-09-28 21:09 -------- d-------- C:\Programme\Microsoft Office
2006-09-26 06:55 -------- d-------- C:\Programme\FlashGet
2006-09-19 12:42 -------- d-------- C:\Programme\SPAMfighter
2006-09-19 12:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Application
2006-09-19 12:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Ankiro
2006-09-19 12:42 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-17 12:10 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\Petroglyph
2006-09-17 12:01 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-16 18:29 -------- d-------- C:\Programme\GSC Game World
2006-09-16 09:08 -------- d-------- C:\Programme\DaViDeo2006VHS
2006-09-13 16:59 -------- d-------- C:\Programme\VideoLAN
2006-08-30 19:45 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\Gearbox Software
2006-08-29 09:51 1339392 -ra------ C:\WINDOWS\system32\FreeImage.dll
2006-08-25 22:14 -------- d-------- C:\Programme\MobiMB Mobile Media Browser
2006-08-25 14:36 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\Nokia
2006-08-25 14:36 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\DataLayer
2006-08-25 11:03 -------- d-------- C:\Dokumente und Einstellungen\Fr„nk\Anwendungsdaten\PC Suite
2006-08-25 11:02 -------- d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2006-08-25 11:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Nokia
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-09 11:49 -------- d-------- C:\Programme\Internet Explorer
2006-08-08 05:36 -------- d-------- C:\Programme\MovieJack 3.5
2006-08-07 21:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-14 14:51 108144 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="F:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"InCD"="G:\\Programme\\Ahead\\InCD\\InCD.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Premium\\avgnt.exe\" /min"
"CloneCDTray"="\"G:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\" /s"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"PCSuiteTrayApplication"="D:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"DataLayer"="C:\\Programme\\Gemeinsame Dateien\\PCSuite\\DataLayer\\DataLayer.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SPAMfighter Agent"="\"C:\\Programme\\SPAMfighter\\SFAgent.exe\" update delay 60"
"ICQ Lite"="\"f:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonceex]
"Flag"=dword:00000002

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="G:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"
"location"="Common Startup"
"command"="G:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Fränk^Startmenü^Programme^Autostart^DCU.lnk]
"path"="C:\\Dokumente und Einstellungen\\Fränk\\Startmenü\\Programme\\Autostart\\DCU.lnk"
"backup"="C:\\WINDOWS\\pss\\DCU.lnkStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Fränk\\Anwendungsdaten\\Microsoft\\Installer\\{BB4E8D66-5C1F-4741-810C-23E551CB640D}\\NewShortcut5_BB4E8D665C1F4741810C23E551CB640D.exe "
"item"="DCU"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Fränk^Startmenü^Programme^Autostart^Verknüpfung mit Rainlendar.lnk]
"path"="C:\\Dokumente und Einstellungen\\Fränk\\Startmenü\\Programme\\Autostart\\Verknüpfung mit Rainlendar.lnk"
"backup"="C:\\WINDOWS\\pss\\Verknüpfung mit Rainlendar.lnkStartup"
"location"="Startup"
"command"="G:\\PROGRA~1\\RAINLE~1.1\\RAINLE~1.EXE "
"item"="Verknüpfung mit Rainlendar"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"G:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1031"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Dit]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dit"
"hkey"="HKLM"
"command"="Dit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LINK FOUR]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MetaForkDent"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\FRNK~1\\ANWEND~1\\SHOWWIPE\\MetaForkDent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Mercora]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MercoraClient"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Mercora\\MercoraClient.exe\" -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nbj"
"hkey"="HKCU"
"command"="\"G:\\Programme\\Ahead\\Nero BackItUp\\nbj.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Nulware]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nulware"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\nulware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"F:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"G:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="G:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\web up support blah]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeamLoad"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\ArmyDeleteWebUp\\TeamLoad.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="G:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinFast Schedule]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WFWIZ"
"hkey"="HKLM"
"command"="G:\\Programme\\WinFast\\WFTVFM\\WFWIZ.exe"
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06.10.2006 16:33:33.75
ComboFix.txt

#13 Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Lasse gerade CounterSpy laufen. Er hat schon 23 infizierte Dateien gefunden.

#15 poste dann dieses log und dann poste auch die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit