Safety Alerter 2006

#1 Habe seit einieger Zeit das Programm " Safety Alerer 2006" in der Liste meiner Software stehn und kann diese nicht deinstallieren. Pc fährt sofort runter. Außerdem kommt ständig unten rechts bei den kleinen Symbolen eine Meldung. Dort blinkt abwechselnd ein Fragezeichen und ein X, wenn ich dort drauf klicke öffnet sich eine Internetseite bei der Ich Software kaufen soll. Habe leider als Laie überhaupt keine Ahnung wie ich dies weg bekomme! HIIIIIIILLLFFFFEEEE!!

Danke schon mal!

#2 arbite das ab und poste die logs hier
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Logfile of HijackThis v1.99.1
Scan saved at 16:43:17, on 18.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156186123352
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe


Besitzer - 06-11-18 17:13:16,07 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Programme\Mozilla Thunderbird"

((((((((((((((((((((((((((((((( Files Created from 2006-10-18 to 2006-11-18 ))))))))))))))))))))))))))))))))))


2006-11-18 15:55 106,496 --------- C:\WINDOWS\system32\okkmtv.dll
2006-11-10 16:55 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2006-11-10 16:55 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2006-11-10 16:55 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2006-11-06 21:08 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-11-06 21:08 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-11-06 21:08 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-11-06 21:08 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-06 21:08 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-01 21:03 221,184 --a------ C:\WINDOWS\system32\wmpns.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-18 17:12 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-18 17:11 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-18 16:45 -------- d-------- C:\Programme\CleanUp!
2006-11-18 16:37 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Real
2006-11-18 16:35 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-11-18 16:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-11-18 16:35 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-18 16:34 -------- d-------- C:\Programme\Real
2006-11-18 14:08 -------- d-------- C:\Programme\QuickTime
2006-11-18 14:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-18 14:04 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-18 14:04 -------- d-------- C:\Programme\Adobe
2006-11-17 17:39 -------- d-------- C:\Programme\eMule.de
2006-11-16 17:46 -------- d-------- C:\Programme\Internet Explorer
2006-11-10 17:05 -------- d-------- C:\Programme\Toshiba
2006-11-08 20:20 -------- d-------- C:\Programme\Winamp
2006-11-08 20:20 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-06 21:00 -------- d-------- C:\Programme\Windows Media Player
2006-11-01 21:59 -------- d-------- C:\Programme\Google
2006-11-01 21:35 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2006-11-01 21:34 -------- d-------- C:\Programme\VideoLAN
2006-10-31 19:05 -------- d-------- C:\Programme\Java
2006-10-27 22:23 -------- d-------- C:\Programme\ICQLite
2006-10-15 17:30 60768 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-11 21:51 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe
2006-10-03 18:09 -------- d---s---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
2006-10-02 15:28 312128 --------- C:\WINDOWS\system32\msdelta.dll
2006-09-28 20:13 95344 --------- C:\WINDOWS\system32\WUDFCoinstaller.dll
2006-09-28 19:00 82944 --------- C:\WINDOWS\system32\drivers\WudfRd.sys
2006-09-28 18:56 55808 --------- C:\WINDOWS\system32\WudfSvc.dll
2006-09-28 18:56 316416 --------- C:\WINDOWS\system32\WUDFx.dll
2006-09-28 18:56 165376 --------- C:\WINDOWS\system32\WudfPlatform.dll
2006-09-28 18:56 146432 --------- C:\WINDOWS\system32\WudfHost.exe
2006-09-28 18:55 77568 --------- C:\WINDOWS\system32\drivers\WudfPf.sys
2006-09-25 17:58 23856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-29 12:51 1216 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AdobeDLM.log
2006-08-29 12:51 0 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dm.ini
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 19:11 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-21 17:30 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Erinnerungen in Microsoft Works-Kalender.lnk"
"backup"="C:\\WINDOWS\\pss\\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\MICROS~1\\WORKSS~1\\wkcalrem.exe "
"item"="Erinnerungen in Microsoft Works-Kalender"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\DOKUME~1\\ALLUSE~1\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
"path"="C:\\DOKUME~1\\ALLUSE~1\\Startmenü\\Programme\\Autostart\\Bluetooth Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Bluetooth Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Toshiba\\BLUETO~1\\TOSBTM~1.EXE "
"item"="Bluetooth Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mHotkey"
"hkey"="HKLM"
"command"="mHotkey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WksSb"
"hkey"="HKLM"
"command"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RUNDLL32"
"hkey"="HKLM"
"command"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM-Reset]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrimaLauncher]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Launcher"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\Launcher.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UNA-Factory]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-18 17:14:01.21
C:\ComboFix.txt ... 06-11-18 17:14


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\WINDOWS\system32

18.11.2006 17:04 1.158 wpa.dbl
18.11.2006 16:35 185.952 rmoc3260.dll
18.11.2006 16:34 5.632 pndx5032.dll
18.11.2006 16:34 6.656 pndx5016.dll
18.11.2006 16:34 278.528 pncrt.dll
18.11.2006 15:55 106.496 okkmtv.dll
10.11.2006 16:58 311.604 perfh009.dat
10.11.2006 16:58 39.992 perfc009.dat
10.11.2006 16:58 48.156 perfc007.dat
10.11.2006 16:58 316.594 perfh007.dat
10.11.2006 16:58 723.568 PerfStringBackup.INI
08.11.2006 19:51 2.550 Uninstall.ico


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

18.11.2006 17:27 289 datFind-1.zip
18.11.2006 17:15 289 datFind.zip
2 Datei(en) 578 Bytes
0 Verzeichnis(se), 93.654.495.744 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\WINDOWS

18.11.2006 17:03 0 0.log
18.11.2006 17:03 1.802.203 WindowsUpdate.log
18.11.2006 17:02 2.048 bootstat.dat
18.11.2006 17:01 32.588 SchedLgU.Txt
18.11.2006 16:37 8.794 mozver.dat
18.11.2006 15:54 411.796 ntbtlog.txt
18.11.2006 15:46 216 wiadebug.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\WINDOWS\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\WINDOWS\Downloaded Program Files

8 Datei(en) 891.160 Bytes
0 Verzeichnis(se), 93.654.304.768 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\

18.11.2006 17:29 0 sys.txt
18.11.2006 17:28 639 down.txt
18.11.2006 17:28 117 tmp.txt
18.11.2006 17:28 15.402 system.txt
18.11.2006 17:27 346 systemtemp.txt
18.11.2006 17:27 101.390 system32.txt
18.11.2006 17:21 117 6.txt
18.11.2006 17:21 295 5.txt
18.11.2006 17:21 2.262 4.txt
18.11.2006 17:20 639 3.txt
18.11.2006 17:20 15.402 2.txt
18.11.2006 17:20 101.390 1.txt
18.11.2006 17:14 14.093 ComboFix.txt
18.11.2006 17:02 268.013.568 hiberfil.sys
18.11.2006 17:02 402.653.184 pagefile.sys
16.11.2006 23:08 211 boot.ini
20.09.2006 19:36 268 sqmdata07.sqm
20.09.2006 19:36 244 sqmnoopt07.sqm
15.09.2006 14:11 268 sqmdata06.sqm
15.09.2006 14:11 244 sqmnoopt06.sqm
45 Datei(en) 671.687.863 Bytes
0 Verzeichnis(se), 93.654.303.232 Bytes frei

Hi, ich hoffe ich hab das so richtig hinbekommen. Nähere Informationen über die Symtome hab ich leider nicht. Ein Verzeichnis ist mir auch nicht bekannt.

#4 scanne mit option 2 - lasse auch die registry mitreinigen - poste dann hier den report
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 SmitFraudFix v2.122

Scan done at 19:18:59,09, 18.11.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\SmitfraudFix-1\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\okkmtv.dll -> Hoax.Win32.Renos.gen.i
C:\WINDOWS\system32\okkmtv.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

#6 alles wieder i.o. ???????
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Das Symbol aus der Leiste unten rechts ist weg! Aber in der Softwareliste erscheint immernoch das Programm. Kann ich das jetzt einfach entfernen oder soll ich es da lassen?

MfG Christian

#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Program Files

01.09.2006 11:54 <DIR> .
01.09.2006 11:54 <DIR> ..
21.08.2006 19:28 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 93.650.880.000 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Programme

18.11.2006 18:17 <DIR> .
18.11.2006 18:17 <DIR> ..
18.11.2006 14:04 <DIR> Adobe
28.08.2006 06:54 <DIR> Ahead
08.11.2006 20:20 <DIR> AntiVir PersonalEdition Classic
18.11.2006 16:45 <DIR> CleanUp!
26.09.2002 13:24 <DIR> CyberLink
19.12.2002 15:05 <DIR> DVDx
18.11.2006 18:28 <DIR> eMule.de
19.11.2006 12:10 <DIR> eMule.de 0.46c v17
21.08.2006 17:09 <DIR> Filme
18.11.2006 16:35 <DIR> Gemeinsame Dateien
01.11.2006 21:59 <DIR> Google
27.10.2006 22:23 <DIR> ICQLite
16.11.2006 17:46 <DIR> Internet Explorer
31.10.2006 19:05 <DIR> Java
21.08.2006 23:19 <DIR> Messenger
14.10.2002 16:01 <DIR> MGI
26.08.2006 15:27 <DIR> microsoft frontpage
27.08.2006 15:23 <DIR> Microsoft Office
14.08.2002 08:12 <DIR> Microsoft Picture It! 2002
14.08.2002 08:07 <DIR> Microsoft Works
26.09.2002 13:18 <DIR> Microsoft Works Suite 2002
21.08.2006 20:49 <DIR> Movie Maker
19.11.2006 12:19 <DIR> Mozilla Firefox
19.11.2006 12:19 <DIR> Mozilla Thunderbird
18.12.2002 21:19 <DIR> MPEG Mediator
13.08.2002 15:35 <DIR> MSN
13.08.2002 15:35 <DIR> MSN Gaming Zone
22.08.2006 16:18 <DIR> MSN Messenger
21.08.2006 20:45 <DIR> NetMeeting
21.08.2006 19:04 <DIR> Norman
09.12.2003 14:09 <DIR> Nullsoft
21.08.2006 21:29 <DIR> OfficeUpdate11
13.08.2002 15:35 <DIR> Online Services
13.08.2002 15:37 <DIR> Online-Dienste
21.08.2006 23:05 <DIR> Outlook Express
14.10.2002 16:00 <DIR> Primax
18.11.2006 16:34 <DIR> Real
21.08.2006 17:28 <DIR> Sokoban
17.11.2006 17:14 <DIR> Spybot - Search & Destroy
10.11.2006 17:05 <DIR> Toshiba
13.08.2002 16:49 <DIR> VIA Technologies, INC
01.11.2006 21:34 <DIR> VideoLAN
26.09.2002 16:26 <DIR> Viewpoint
08.11.2006 20:20 <DIR> Winamp
06.11.2006 21:00 <DIR> Windows Media Player
21.08.2006 20:45 <DIR> Windows NT
05.11.2003 22:16 <DIR> WinRAR
13.08.2002 15:39 <DIR> xerox
22.04.2004 14:01 <DIR> XMPEG 4.2a
21.08.2006 19:02 <DIR> xp-AntiSpy
01.09.2006 11:55 <DIR> Yahoo!
21.08.2006 18:26 <DIR> ZyDAS Technology Corporation
0 Datei(en) 0 Bytes
54 Verzeichnis(se), 93.650.873.856 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten

29.08.2006 13:00 <DIR> Adobe
29.08.2006 21:37 <DIR> Ahead
15.10.2006 22:32 98.304 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
04.11.2004 12:31 40.814 FASTWiz.log
16.10.2006 21:04 60.768 GDIPFONTCACHEV1.DAT
18.11.2006 16:34 <DIR> Google
22.11.2003 12:52 <DIR> Help
05.10.2002 13:37 <DIR> Identities
02.11.2006 22:51 <DIR> Microsoft
21.08.2006 19:13 <DIR> Mozilla
31.10.2006 19:11 <DIR> Sun
21.08.2006 19:18 <DIR> Thunderbird
10.11.2006 17:12 <DIR> Toshiba
3 Datei(en) 199.886 Bytes
10 Verzeichnis(se), 93.650.874.880 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten

11.10.2006 21:51 <DIR> Adobe
29.08.2006 12:51 1.216 AdobeDLM.log
29.08.2006 13:01 <DIR> AdobeUM
20.10.2002 15:54 <DIR> Alive Games
21.08.2006 17:09 <DIR> AOL
19.06.2003 16:57 <DIR> ArcSoft
29.08.2006 12:51 0 dm.ini
15.10.2006 17:30 60.768 GDIPFONTCACHEV1.DAT
30.08.2006 07:31 <DIR> Google
26.09.2002 17:02 <DIR> Help
21.08.2006 19:28 <DIR> ICQLite
13.08.2002 15:42 <DIR> Identities
22.10.2003 15:39 <DIR> Macromedia
21.08.2006 19:18 <DIR> Mozilla
03.10.2002 16:22 <DIR> MSN6
18.11.2006 16:37 <DIR> Real
22.08.2006 18:05 <DIR> Sun
21.08.2006 19:14 <DIR> Talkback
21.08.2006 19:18 <DIR> Thunderbird
19.11.2006 11:40 <DIR> Toshiba
01.11.2006 21:35 <DIR> vlc
30.05.2004 16:45 <DIR> You've Got Pictures Screensaver
3 Datei(en) 61.984 Bytes
19 Verzeichnis(se), 93.650.873.856 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

21.08.2006 19:11 305 addr_file.html
29.08.2006 12:54 <DIR> Adobe
18.11.2006 17:42 <DIR> AntiVir PersonalEdition Classic
21.08.2006 17:06 <DIR> AOL
14.08.2002 10:09 <DIR> CyberLink
30.09.2002 13:23 <DIR> MSN6
02.06.2004 19:16 <DIR> QuickTime
08.11.2006 19:41 <DIR> Spybot - Search & Destroy
30.05.2004 16:45 <DIR> Viewpoint
21.08.2006 19:58 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
9 Verzeichnis(se), 93.650.872.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Programme\Gemeinsame Dateien

18.11.2006 16:35 <DIR> .
18.11.2006 16:35 <DIR> ..
18.11.2006 14:04 <DIR> Adobe
23.08.2006 07:19 <DIR> Ahead
21.08.2006 17:09 <DIR> aol
30.05.2004 16:45 <DIR> aolback
21.08.2006 17:09 <DIR> aolshare
12.07.2006 19:55 <DIR> config
14.08.2002 08:06 <DIR> Designer
21.08.2006 21:01 <DIR> Dienste
30.08.2006 07:29 <DIR> InstallShield
22.08.2006 07:46 <DIR> Java
12.07.2006 19:55 <DIR> lang
12.07.2006 19:55 <DIR> license
18.11.2006 14:06 <DIR> Microsoft Shared
13.08.2002 15:36 <DIR> MSSoap
30.05.2004 16:41 <DIR> Nullsoft
27.08.2006 15:27 <DIR> ODBC
18.11.2006 16:35 <DIR> Real
13.08.2002 16:17 <DIR> SpeechEngines
27.08.2006 15:28 <DIR> System
12.07.2006 19:55 <DIR> webserver
18.11.2006 16:35 <DIR> xing shared
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 93.650.871.808 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5036-ED83

Verzeichnis von C:\Windows\tasks

Hallo, das ist der Text der erschien!
MfG Christian

#10 wo ist nun das programm, von dem du berichtet hast ????
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Es steht unter Systemsteuerung -> Software. Wenn ich es dort versuchte zu deinstallieren. Öffnete sich immer ein Fenster und der PC startete neu nachdem eine Uhr runtergelaufen war. Nachdem ich jetzt die von dir angegebenen Schritte ausgeführt habe ist es noch da. Habe aber noch nicht wieder probiert es zu deinstallieren. Kann ich das einfach tun oder fängt dann eventuell das Problem von vorne an?

Ps.: Gibt es eine möglichkeit sich in Zukunft vor soetwas zu schützen? Sollt ich Programme wie cleanup! regelmäßig ausführen?

MfG Christian

#12 Verzeichnis von C:\Programme
..
..
wie heisst das programm ?? schau mal oben, ob du es findest
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Es heisst Safety Alerter 2006. Unter c:\programme ist es nicht. Ich weiss nicht wo es ist. Habs schonmal über "suchen" probiert aber nichts gefunden.

#14 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Safety Alerter 2006

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Safety Alerter 2006" 19.11.2006 14:52:05

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Alerter 2006]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006]
"DisplayName"="Safety Alerter 2006"