Ständig Popups - aelupsvc32.dll - wsfit32.sys - WinStar

#1 Hallo zusammen ;

Eigentlich bin ich einer der Menschen, der nur mit Firefox ins Netz geht und darauf achtet, dass beim Start nich mehr als 17 Prozesse laufen.

Gestern kam aber alles anders. Im Koreanischen Fernsehen lief ne Warcraft-live Übertragung die ich unbedingt sehen wollte. Hab mich ein bisl Schlau gemacht und mir TVAnts zum sehen der Sendung installiert. Das läuft leider nur mit ActiveX...Da ich zu faul war im Firefox was umzustelln und mit den Plugins rumzumehrn hab ich EINMAL IN MEINEM LEBEN Internet-Explorer gestartet und hab die entsprechende Koreanische live-seite besucht (der Player intigriert sich im Browser). Es kam irgend ne Meldung auf Koreanisch, die ich logischer Weise nich lesen konnte...also einfach mal auf den linken Button mit den schöneren koreanischen Zeichen gedrückt (dachte ja --> großer Fernsehsender -->seriös --> kann nichts passieren). Hm, falsch gedacht. Hab böd wie ich bin irgend ner ActiveX-Installations-Kacke zugestimmt...natürlich hastig versucht das ganze abzubrechen ; aber scheinbar zu spät. Die Sendung konnte ich ohne Probleme gucken *jubel*. Als ich dann wie immer mit Firefox unterwegs war öffneten sich im Abstand von 20 min (geht ja noch ^^) ein oder 2 Koreanische Popups im Internetexplorer (der startet sich dann einfach mal)....

was ich bisher versucht hab :

-Tv-Ants deinstalliert
-Adaware alles entfernen lassen, was verdächtig war
-Spybot das selbe
-Bei MsConfig geguckt
-HijackThis angeguckt -> was auffiel waren die aelupsvc32.dll Einträge.

Hab mal bei google nach der Datei gesucht und man findet fast nur Koreanische/chinesische/etc. Ergebisse. Wär also möglich, dass die Datei wirklich der Übeltäter is.
Hab die Files dann mal über LSPFix removed...aber nachm Neustart sind sie wieder da und PopUps kommen immernoch *grr*

Was tun ? Denkt ihr Virenscan hilft (hab Kaspersky) ? Hab da ja irgendwie wenig Hoffnung.

Achja...hier noch mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:15:39, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\KuCo-\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aelupsvc32.dll
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/AQOfVCbfHkjGejQd-jy2JQ/vod/dmd/WMDownload.cab





Der Arcor-Eintrag is es nich...das hat was mit der Online-VOD-Videothek zu tun denk ich : )


Danke im Vorraus

Grüße
KuCo

#2 KuCo

1.
LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe, welche dll du rechts oder links findest

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1) Siehe Anhang

2.) KuCo- - 06-11-16 11:45:18,68 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\KuCo-\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))


2006-11-15 10:42 163,714 --a------ C:\WINDOWS\~tmp7710.exe
2006-11-15 10:39 163,714 --a------ C:\WINDOWS\~tmp5049.exe
2006-11-15 10:31 49,152 --a------ C:\WINDOWS\IEXPL0RE.exe
2006-11-15 10:31 29,184 --a------ C:\WINDOWS\system32\drivers\wsfit32.sys
2006-11-15 10:31 167,936 --a------ C:\WINDOWS\system32\aelupsvc32.dll
2006-11-15 10:26 163,714 --a------ C:\WINDOWS\~tmp3160.exe
2006-11-15 10:25 163,714 --a------ C:\WINDOWS\~tmp8084.exe
2006-11-04 20:01 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll
2006-11-04 20:01 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2006-11-04 20:01 46,592 --a------ C:\WINDOWS\system32\hpzll43a.dll
2006-11-04 20:01 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2006-11-04 20:01 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-11-04 19:59 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2006-11-04 19:59 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2006-11-04 19:59 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe
2006-11-04 19:59 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2006-11-04 19:59 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-11-04 19:59 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-04 19:59 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2006-11-04 19:59 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2006-11-04 19:59 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2006-11-03 08:44 384,512 --------- C:\WINDOWS\system32\MFCO40.DLL
2006-11-03 08:44 306,688 --a------ C:\WINDOWS\IsUn0407.exe
2006-11-03 08:44 28,160 C:\WINDOWSPhoto Express 2 SE.scr
2006-10-31 17:31 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2006-10-31 17:31 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-30 17:17 212,480 --------- C:\WINDOWS\system32\PCDLIB32.DLL
2006-10-30 15:59 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2006-10-30 15:25 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2006-10-30 15:25 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2006-10-29 16:17 53,248 --a------ C:\WINDOWS\system32\ImageOle.dll
2006-10-26 11:08 94,208 --a------ C:\WINDOWS\system32\bahrurcom.dll
2006-10-26 11:08 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2006-10-26 11:08 667,648 --a------ C:\WINDOWS\system32\FreeImage.dll
2006-10-26 11:08 27,648 --a------ C:\WINDOWS\system32\ilu.dll
2006-10-26 11:08 269,312 --a------ C:\WINDOWS\system32\devil.dll
2006-10-26 11:08 16,384 --a------ C:\WINDOWS\system32\ilut.dll
2006-10-26 11:08 135,168 --a------ C:\WINDOWS\system32\bahruriLIB.dll
2006-10-19 18:17 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-16 11:11 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-16 11:06 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\uTorrent
2006-11-16 09:47 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\foobar2000
2006-11-15 21:59 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Lavasoft
2006-11-15 21:58 -------- d-------- C:\Programme\Lavasoft
2006-11-15 14:09 -------- d-------- C:\Programme\Warcraft III
2006-11-15 10:47 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-15 10:42 163714 --a------ C:\WINDOWS\~tmp7710.exe
2006-11-15 10:39 163714 --a------ C:\WINDOWS\~tmp5049.exe
2006-11-15 10:26 163714 --a------ C:\WINDOWS\~tmp3160.exe
2006-11-15 10:25 163714 --a------ C:\WINDOWS\~tmp8084.exe
2006-11-15 09:34 -------- d-------- C:\Programme\Trillian
2006-11-14 21:53 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\OpenOffice.org2
2006-11-14 13:22 -------- d---s---- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Microsoft
2006-11-13 06:34 -------- d-------- C:\Programme\Mozilla Sunbird
2006-11-12 21:47 -------- d-------- C:\Programme\GG E-Sports Platform
2006-11-04 20:04 -------- d-------- C:\Programme\HP
2006-11-04 20:04 -------- d-------- C:\Programme\Gemeinsame Dateien\HP
2006-11-04 20:02 -------- d-------- C:\Programme\Hewlett-Packard
2006-11-04 20:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-11-03 20:57 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\dvdcss
2006-11-03 20:56 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Vso
2006-11-03 08:44 -------- d-------- C:\Programme\Ulead Systems
2006-11-03 08:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-03 01:51 -------- d-------- C:\Programme\eMule
2006-10-31 20:00 -------- d-------- C:\Programme\TVUPlayer
2006-10-31 17:36 -------- d-------- C:\Programme\Game Cam Lite v1.4
2006-10-30 17:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-10-30 17:17 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-30 16:00 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\CyberLink
2006-10-30 15:59 -------- d-------- C:\Programme\CyberLink
2006-10-30 15:24 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Macromedia
2006-10-30 15:23 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-30 15:21 -------- d-------- C:\Programme\Macromedia
2006-10-30 15:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-10-30 15:20 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-30 15:09 -------- d-------- C:\Programme\foobar2000
2006-10-30 15:07 -------- d-------- C:\Programme\Kaspersky
2006-10-30 15:06 -------- d-------- C:\Programme\DVDFab Platinum 3
2006-10-30 15:06 -------- d-------- C:\Programme\DivX
2006-10-30 15:06 -------- d-------- C:\Programme\D-Tools
2006-10-30 15:04 -------- d-------- C:\Programme\Torrent
2006-10-30 15:03 -------- d-------- C:\Programme\VLC-Player
2006-10-30 14:19 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Thunderbird
2006-10-30 14:19 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Mozilla
2006-10-30 14:17 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Talkback
2006-10-30 11:18 -------- d-------- C:\Programme\OpenOffice.org 2.0
2006-10-26 11:08 -------- d-------- C:\Programme\Oriens Solution Inc
2006-10-26 11:02 -------- d-------- C:\Programme\Inkscape
2006-10-26 11:02 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Inkscape
2006-10-26 11:01 -------- d-------- C:\Programme\WinAce
2006-10-23 16:22 -------- d-------- C:\Programme\Wolfenstein - Enemy Territory
2006-10-19 18:17 81920 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\ezpinst.exe
2006-10-19 18:17 7176 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.cat
2006-10-19 18:17 47360 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.sys
2006-10-19 18:17 34 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.log
2006-10-19 18:17 1144 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.inf
2006-10-19 17:46 -------- d-------- C:\Programme\DVD Decrypter
2006-10-14 20:36 -------- d-------- C:\Programme\Fraps
2006-10-08 11:27 -------- d-------- C:\Programme\Foxit Reader
2006-10-08 11:05 -------- d-------- C:\Programme\BearShare
2006-10-04 15:11 -------- d-------- C:\Programme\Playstation
2006-10-04 14:24 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\fltk.org
2006-10-03 11:00 2829 --a------ C:\WINDOWS\War3Unin.pif
2006-10-03 11:00 139264 --a------ C:\WINDOWS\War3Unin.exe
2006-10-02 13:54 -------- d-a------ C:\Programme\Sbinducr
2006-10-02 13:39 -------- d-------- C:\Programme\BootDreams
2006-10-02 13:30 -------- d-------- C:\Programme\IsoBuster
2006-09-29 16:58 -------- d-------- C:\Programme\HEdit
2006-09-29 16:54 -------- d-------- C:\Programme\Hex-Editor MX
2006-09-29 16:06 -------- d-------- C:\Programme\Alcohol Soft
2006-09-29 15:19 -------- d-------- C:\Programme\Padus
2006-09-27 19:37 -------- d-------- C:\Programme\Nero
2006-09-27 19:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-09-27 19:36 -------- d-------- C:\Programme\Yahoo!
2006-09-27 19:20 -------- d-------- C:\Programme\Guitar Pro 5
2006-09-27 18:31 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Real
2006-09-27 18:31 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Media Player Classic
2006-09-27 18:30 -------- d-------- C:\Programme\Real Alternative
2006-09-27 18:30 -------- d-------- C:\Programme\Media Player Classic
2006-09-27 18:13 -------- d-------- C:\Programme\QuickTime Alternative
2006-09-27 18:09 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\vlc
2006-09-27 17:53 -------- d-------- C:\Programme\WinRAR
2006-09-27 17:43 -------- d-------- C:\Programme\Gemeinsame Dateien\KAV Shared Files
2006-09-27 17:15 -------- d-------- C:\Programme\XviD
2006-09-27 17:15 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-09-27 17:15 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-09-27 17:14 62 --ahs---- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\desktop.ini
2006-09-27 17:12 -------- d-------- C:\Programme\AC3
2006-09-27 17:01 -------- d-------- C:\Programme\Monitor
2006-09-27 16:58 -------- d-------- C:\Programme\NVIDIA
2006-09-27 16:54 359040 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-09-27 16:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-27 16:32 -------- d--h----- C:\Programme\Uninstall Information
2006-09-27 16:32 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Identities
2006-09-27 16:27 0 -rahs---- C:\MSDOS.SYS
2006-09-27 16:27 0 -rahs---- C:\IO.SYS
2006-09-27 16:27 0 --a------ C:\CONFIG.SYS
2006-09-27 16:27 0 --a------ C:\AUTOEXEC.BAT
2006-09-27 16:27 -------- d-------- C:\Programme\xerox
2006-09-27 16:27 -------- d-------- C:\Programme\Windows Media Player
2006-09-27 16:27 -------- d-------- C:\Programme\microsoft frontpage
2006-09-27 16:26 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-27 16:26 -------- d-------- C:\Programme\Online-Dienste
2006-09-27 16:26 -------- d-------- C:\Programme\Internet Explorer
2006-09-27 16:24 -------- d-------- C:\Programme\Outlook Express
2006-09-27 16:24 -------- d-------- C:\Programme\NetMeeting
2006-09-27 16:24 -------- d-------- C:\Programme\Movie Maker
2006-09-27 16:24 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-09-27 16:24 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-09-27 16:23 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-27 16:22 -------- d-------- C:\Programme\Windows NT
2006-09-27 16:22 -------- d-------- C:\Programme\Online Services
2006-09-27 16:22 -------- d-------- C:\Programme\MSN Gaming Zone
2006-09-27 16:22 -------- d-------- C:\Programme\Messenger
2006-09-27 16:22 -------- d-------- C:\Programme\ComPlus Applications
2006-09-27 16:20 -------- d-------- C:\Programme\MSN


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ULEADS~1\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^KuCo-^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\KuCo-\\Startmenü\\Programme\\Autostart\\OpenOffice.org 2.0.lnk"
"backup"="C:\\WINDOWS\\pss\\OpenOffice.org 2.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\OPENOF~1.0\\program\\QUICKS~1.EXE "
"item"="OpenOffice.org 2.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CdnCtr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cdnup"
"hkey"="HKLM"
"command"="C:\\Program Files\\CNNIC\\Cdn\\cdnup.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Monitor"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\Monitor.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Calendar Checker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CalCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 6\\CalCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinStar]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IEXPL0RE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\IEXPL0RE.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=dword:00000002
"Macromedia Licensing Service"=dword:00000003
"NVSvc"=dword:00000002
"RichVideo"=dword:00000002
"Pml Driver HPZ12"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-16 11:45:46.75
C:\ComboFix.txt ... 06-11-16 11:45


Diese Temp-Files wurden mir ne Zeitlang im TaskManager angezeigt.Die stehen auch direkt bei dieser dll und bei IEXPL0RE.exe. Einfachmal mal die IEXPL0RE.exe und die reg-einträge löschen wär nich gut oder ?

#4 1.
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing"-- Remove
- und loesche die aelupsvc32.dll - musst du die dll von links nach rechts bringen) - Remove

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hm...viel Arbeit

Ich geh jetzt erstmal in den Abgesicherten und lösche den Reg-eintrag.
Trotzdem danke für die Hilfe bis hierher : )


PS: die aelupsvc32.dll lässt sich über LSPfix nich löschen...kommt nach Neustart immer wieder...mal sehen ob sich das ändert, wenn ich die Iexpl0re aus der Registry lösche

#6 fuehre erst mal aus, worum ich bitte, es muss alles mit bedacht geschehen, denn der virus sitzt im Winsock und wenn da was schief geht, kommst du nicht mehr ins Internet
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hey : )

Also Inet geht noch. Hab den Reg-Eintrag (IEXPl0RE Startup) gelöscht und über BartPE die IEPL0RE.EXE, die TMP-FILES und die wsfit32.sys gelöscht...im normalen Abgesicherten ließen die sich nich löschen. Die Popups scheinen weg zu sein, aber mir wird immernoch die aelupsvc32.dll bei LSPFIX angezeigt...die kann ich removen wie ich will ^^ Und irgendwie getrau ich mich nich die per BARTPE zu löschen.

Irgendne ne Idee ?

Danke : ) Kuco


WAAAH...nein...die Popups sind nich weg -_-

#8 du darfst die dll erst mal nicht loeschen - jedenfalls nicht, solange sie im Winsock ist...

fuehre das aus
WinsockFix (Fuer alle Betriebssysteme)
http://www.winsockfix.nl/

dann berichte, ob die dll noch in LSPfix erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#9 *heul*

Ich krieg die Krise.


Also das mit WinsockFix war keine gute Idee. Das Programm hat sich aufgehangen (hab ewig gewartet)...danach ging garnichts mehr (Netzwerk-technisch). Programm nochmal ausgeführt...wieder aufgehangen.

Bin dann ins Regedit und wollte den Winsock2-Eintrag löschen (steht so auf der Microsoft-Seite). Ging auch nich...hängt sich beim löschen auf. Dieser fiese kleine Virus scheint echt dafür zu sorgen, dass man alles was mit Winsock zu tun hat überhaupt nich verändern kann (deshalb hilft auch LSPfix nich).

Hab den Winsock-Eintrag dann über Bart-PE gelöscht und TCPIP neu einstalliert. Jetzt läuft mein I-Net wieder.

LSPFix sieht jetzt so aus : (siehe Anhang)

Was tun ? Einfach mal mit BartPE die dll kurz umbenennen und gucken ob Windows läuft ?

#10 ja, versuche es mit umbennen, obwohl - dann wirst du nicht mehr ins net kommen, ich verstehe nicht, warum die proggies es nicht schaffen, diese dll aus dem Winsock zu holen

**
poste noch mal das log von combofix
und auch die 6 logs von datfinbat, vielleicht finde ich noch was.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ...wenn ich umbenenne komm ich nich ins Netz wie du sagtest. Ich kann dann aber IM LAUFENDEN BETRIEB die Datei wieder den Original-Namen geben und schon funktioniert das Netzwerk wieder oO

Hier erstmal Combofix. Die wsfit32.sys wird automatisch wieder hergestellt.

Ist die Meldung im Anhang normal bei dem Programm ?

KuCo- - 06-11-16 13:51:19,62 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\KuCo-\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))


2006-11-16 12:26 29,184 --a------ C:\WINDOWS\system32\drivers\wsfit32.sys
2006-11-15 10:31 167,936 --a------ C:\WINDOWS\system32\aelupsvc32.dll
2006-11-04 20:01 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll
2006-11-04 20:01 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2006-11-04 20:01 46,592 --a------ C:\WINDOWS\system32\hpzll43a.dll
2006-11-04 20:01 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2006-11-04 20:01 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-11-04 19:59 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2006-11-04 19:59 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2006-11-04 19:59 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe
2006-11-04 19:59 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2006-11-04 19:59 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-11-04 19:59 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-04 19:59 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2006-11-04 19:59 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2006-11-04 19:59 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2006-11-03 08:44 384,512 --------- C:\WINDOWS\system32\MFCO40.DLL
2006-11-03 08:44 306,688 --a------ C:\WINDOWS\IsUn0407.exe
2006-11-03 08:44 28,160 C:\WINDOWSPhoto Express 2 SE.scr
2006-10-31 17:31 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2006-10-31 17:31 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-30 17:17 212,480 --------- C:\WINDOWS\system32\PCDLIB32.DLL
2006-10-30 15:59 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2006-10-30 15:25 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2006-10-30 15:25 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2006-10-29 16:17 53,248 --a------ C:\WINDOWS\system32\ImageOle.dll
2006-10-26 11:08 94,208 --a------ C:\WINDOWS\system32\bahrurcom.dll
2006-10-26 11:08 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2006-10-26 11:08 667,648 --a------ C:\WINDOWS\system32\FreeImage.dll
2006-10-26 11:08 27,648 --a------ C:\WINDOWS\system32\ilu.dll
2006-10-26 11:08 269,312 --a------ C:\WINDOWS\system32\devil.dll
2006-10-26 11:08 16,384 --a------ C:\WINDOWS\system32\ilut.dll
2006-10-26 11:08 135,168 --a------ C:\WINDOWS\system32\bahruriLIB.dll
2006-10-19 18:17 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-16 13:49 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-16 11:06 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\uTorrent
2006-11-16 09:47 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\foobar2000
2006-11-15 21:59 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Lavasoft
2006-11-15 21:58 -------- d-------- C:\Programme\Lavasoft
2006-11-15 14:09 -------- d-------- C:\Programme\Warcraft III
2006-11-15 10:47 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-15 09:34 -------- d-------- C:\Programme\Trillian
2006-11-14 21:53 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\OpenOffice.org2
2006-11-14 13:22 -------- d---s---- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Microsoft
2006-11-13 06:34 -------- d-------- C:\Programme\Mozilla Sunbird
2006-11-12 21:47 -------- d-------- C:\Programme\GG E-Sports Platform
2006-11-04 20:04 -------- d-------- C:\Programme\HP
2006-11-04 20:04 -------- d-------- C:\Programme\Gemeinsame Dateien\HP
2006-11-04 20:02 -------- d-------- C:\Programme\Hewlett-Packard
2006-11-04 20:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-11-03 20:57 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\dvdcss
2006-11-03 20:56 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Vso
2006-11-03 08:44 -------- d-------- C:\Programme\Ulead Systems
2006-11-03 08:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-03 01:51 -------- d-------- C:\Programme\eMule
2006-10-31 20:00 -------- d-------- C:\Programme\TVUPlayer
2006-10-31 17:36 -------- d-------- C:\Programme\Game Cam Lite v1.4
2006-10-30 17:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-10-30 17:17 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-30 16:00 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\CyberLink
2006-10-30 15:59 -------- d-------- C:\Programme\CyberLink
2006-10-30 15:24 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Macromedia
2006-10-30 15:23 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-30 15:21 -------- d-------- C:\Programme\Macromedia
2006-10-30 15:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-10-30 15:20 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-30 15:09 -------- d-------- C:\Programme\foobar2000
2006-10-30 15:07 -------- d-------- C:\Programme\Kaspersky
2006-10-30 15:06 -------- d-------- C:\Programme\DVDFab Platinum 3
2006-10-30 15:06 -------- d-------- C:\Programme\DivX
2006-10-30 15:06 -------- d-------- C:\Programme\D-Tools
2006-10-30 15:04 -------- d-------- C:\Programme\Torrent
2006-10-30 15:03 -------- d-------- C:\Programme\VLC-Player
2006-10-30 14:19 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Thunderbird
2006-10-30 14:19 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Mozilla
2006-10-30 14:17 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Talkback
2006-10-30 11:18 -------- d-------- C:\Programme\OpenOffice.org 2.0
2006-10-26 11:08 -------- d-------- C:\Programme\Oriens Solution Inc
2006-10-26 11:02 -------- d-------- C:\Programme\Inkscape
2006-10-26 11:02 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Inkscape
2006-10-26 11:01 -------- d-------- C:\Programme\WinAce
2006-10-23 16:22 -------- d-------- C:\Programme\Wolfenstein - Enemy Territory
2006-10-19 18:17 81920 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\ezpinst.exe
2006-10-19 18:17 7176 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.cat
2006-10-19 18:17 47360 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.sys
2006-10-19 18:17 34 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.log
2006-10-19 18:17 1144 --a------ C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\pcouffin.inf
2006-10-19 17:46 -------- d-------- C:\Programme\DVD Decrypter
2006-10-14 20:36 -------- d-------- C:\Programme\Fraps
2006-10-08 11:27 -------- d-------- C:\Programme\Foxit Reader
2006-10-08 11:05 -------- d-------- C:\Programme\BearShare
2006-10-04 15:11 -------- d-------- C:\Programme\Playstation
2006-10-04 14:24 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\fltk.org
2006-10-03 11:00 2829 --a------ C:\WINDOWS\War3Unin.pif
2006-10-03 11:00 139264 --a------ C:\WINDOWS\War3Unin.exe
2006-10-02 13:54 -------- d-a------ C:\Programme\Sbinducr
2006-10-02 13:39 -------- d-------- C:\Programme\BootDreams
2006-10-02 13:30 -------- d-------- C:\Programme\IsoBuster
2006-09-29 16:58 -------- d-------- C:\Programme\HEdit
2006-09-29 16:54 -------- d-------- C:\Programme\Hex-Editor MX
2006-09-29 16:06 -------- d-------- C:\Programme\Alcohol Soft
2006-09-29 15:19 -------- d-------- C:\Programme\Padus
2006-09-27 19:37 -------- d-------- C:\Programme\Nero
2006-09-27 19:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-09-27 19:36 -------- d-------- C:\Programme\Yahoo!
2006-09-27 19:20 -------- d-------- C:\Programme\Guitar Pro 5
2006-09-27 18:31 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Real
2006-09-27 18:31 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Media Player Classic
2006-09-27 18:30 -------- d-------- C:\Programme\Real Alternative
2006-09-27 18:30 -------- d-------- C:\Programme\Media Player Classic
2006-09-27 18:13 -------- d-------- C:\Programme\QuickTime Alternative
2006-09-27 18:09 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\vlc
2006-09-27 17:53 -------- d-------- C:\Programme\WinRAR
2006-09-27 17:43 -------- d-------- C:\Programme\Gemeinsame Dateien\KAV Shared Files
2006-09-27 17:15 -------- d-------- C:\Programme\XviD
2006-09-27 17:15 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-09-27 17:15 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-09-27 17:14 62 --ahs---- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\desktop.ini
2006-09-27 17:12 -------- d-------- C:\Programme\AC3
2006-09-27 17:01 -------- d-------- C:\Programme\Monitor
2006-09-27 16:58 -------- d-------- C:\Programme\NVIDIA
2006-09-27 16:54 359040 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-09-27 16:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-27 16:32 -------- d--h----- C:\Programme\Uninstall Information
2006-09-27 16:32 -------- d-------- C:\Dokumente und Einstellungen\KuCo-\Anwendungsdaten\Identities
2006-09-27 16:27 0 -rahs---- C:\MSDOS.SYS
2006-09-27 16:27 0 -rahs---- C:\IO.SYS
2006-09-27 16:27 0 --a------ C:\CONFIG.SYS
2006-09-27 16:27 0 --a------ C:\AUTOEXEC.BAT
2006-09-27 16:27 -------- d-------- C:\Programme\xerox
2006-09-27 16:27 -------- d-------- C:\Programme\Windows Media Player
2006-09-27 16:27 -------- d-------- C:\Programme\microsoft frontpage
2006-09-27 16:26 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-27 16:26 -------- d-------- C:\Programme\Online-Dienste
2006-09-27 16:26 -------- d-------- C:\Programme\Internet Explorer
2006-09-27 16:24 -------- d-------- C:\Programme\Outlook Express
2006-09-27 16:24 -------- d-------- C:\Programme\NetMeeting
2006-09-27 16:24 -------- d-------- C:\Programme\Movie Maker
2006-09-27 16:24 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-09-27 16:24 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-09-27 16:23 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-27 16:22 -------- d-------- C:\Programme\Windows NT
2006-09-27 16:22 -------- d-------- C:\Programme\Online Services
2006-09-27 16:22 -------- d-------- C:\Programme\MSN Gaming Zone
2006-09-27 16:22 -------- d-------- C:\Programme\Messenger
2006-09-27 16:22 -------- d-------- C:\Programme\ComPlus Applications
2006-09-27 16:20 -------- d-------- C:\Programme\MSN


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ULEADS~1\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^KuCo-^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\KuCo-\\Startmenü\\Programme\\Autostart\\OpenOffice.org 2.0.lnk"
"backup"="C:\\WINDOWS\\pss\\OpenOffice.org 2.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\OPENOF~1.0\\program\\QUICKS~1.EXE "
"item"="OpenOffice.org 2.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CdnCtr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cdnup"
"hkey"="HKLM"
"command"="C:\\Program Files\\CNNIC\\Cdn\\cdnup.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Monitor"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\Monitor.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Calendar Checker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CalCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 6\\CalCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=dword:00000002
"Macromedia Licensing Service"=dword:00000003
"NVSvc"=dword:00000002
"RichVideo"=dword:00000002
"Pml Driver HPZ12"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-16 13:51:38.93
C:\ComboFix.txt ... 06-11-16 13:51
C:\ComboFix2.txt ... 06-11-16 13:47
C:\ComboFix3.txt ... 06-11-16 12:15

#12 da scheint noch ein Dienst im Spiel zu sein - sys ist ein Treiber...

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

Zitat

\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\
\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wsfit32\
\\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\
\\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\wsfit32\
\\REGISTRY\MACHINE\SYSTEM\ControlSet003\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\
\\REGISTRY\MACHINE\SYSTEM\ControlSet003\Services\wsfit32\
\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinStar

__________
MfG Sabina

rund um die PC-Sicherheit

#13 hah ! ich habs geschafft ^^

Also erstmal hab ich in der Registry mal nach Einträgen von wsfit32.sys und aelupsvc32.dll gesucht. Warn ne ganze Menge...Backup gemacht und versucht zu löschen ; ging nich - Regedit stürzt ab. Dann nochmal im BartPE die aelupsvc32.dll umbenannt. Inet ging wieder nich. Diesmal hab ich aber während das Inet nich ging (also während die aelupsvc32 nich geladen war) LSPFix ausgeführt...diesmal sah das gleich ganz anders aus - die schrift oben war rot (so in etwa ; "problem entdeckt") und die aelupsvc32.dll stand sofort auf der rechten seite. Auf finish geklickt...das Programm meinte es hätte 11 Einträge geändert...jetzt is die Datei weg (auch bei LSPfix) und die Popups auch...endlich...sowas hartnäckiges ;

Die Datei lässt sich NICHT im Abgesicherten löschen.
Die Datei lässt keine Änderung sie betreffender Reg-Einträge zu.
Die Datei scheint sich irgendwie vor LSPfix zu tarnen, wenn sie aktiv ist (wurde ja vorher nichmal als Problem erkannt)....

sowas hab ich echt noch nich erlebt...naja...jetzt bin ichs los - danke für die Hilfe : ) Das Combo-Fix werd ich mir auf jeden Fall merken ; kannte ich noch nich, is aber sehr nützlich.

schön Tag noch