Virus Busters: Es blinkt dieses hässliche Zeichen.

#1 Logfile of HijackThis v1.99.1
Scan saved at 20:35:06, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\VSTASCAN\vsaccess.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\FELIXN~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Perfect Codec\isaddon.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - C:\WINDOWS\system32\dcvwaah.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

((((((((((((((((((((((((((((((( Files Created from 2006-10-19 to 2006-11-19 ))))))))))))))))))))))))))))))))))


2006-11-19 19:27 77,824 --a------ C:\WINDOWS\system32\dcvwaah.dll
2006-11-18 21:41 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-11-18 21:40 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-11-18 16:22 151,552 --a------ C:\WINDOWS\system32\MSOSS.DLL
2006-11-11 12:50 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2006-10-22 12:22 888,832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-10-22 12:22 86,016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-10-22 12:22 81,920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-10-22 12:22 794,624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-10-22 12:22 7,700,480 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-10-22 12:22 581,632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-10-22 12:22 5,644,288 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-10-22 12:22 5,619,712 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-10-22 12:22 5,255,168 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-10-22 12:22 466,944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-10-22 12:22 458,752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-10-22 12:22 45,056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-10-22 12:22 442,368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-10-22 12:22 425,984 --a------ C:\WINDOWS\system32\keystone.exe
2006-10-22 12:22 35,840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-10-22 12:22 35,840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-10-22 12:22 335,872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-10-22 12:22 335,872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-10-22 12:22 327,680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-10-22 12:22 327,680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-10-22 12:22 319,488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-10-22 12:22 319,488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-10-22 12:22 315,392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-10-22 12:22 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-10-22 12:22 311,296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-10-22 12:22 311,296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-10-22 12:22 303,104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-10-22 12:22 303,104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-10-22 12:22 303,104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-10-22 12:22 3,203,072 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-10-22 12:22 3,047,424 --a------ C:\WINDOWS\system32\nvgames.dll
2006-10-22 12:22 299,008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-10-22 12:22 299,008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-10-22 12:22 294,912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-10-22 12:22 294,912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-10-22 12:22 294,912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-10-22 12:22 286,720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-10-22 12:22 286,720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-10-22 12:22 286,720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-10-22 12:22 282,624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-10-22 12:22 278,528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-10-22 12:22 278,528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-10-22 12:22 274,432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-10-22 12:22 274,432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-10-22 12:22 274,432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-10-22 12:22 270,336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-10-22 12:22 266,240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-10-22 12:22 266,240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-10-22 12:22 266,240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-10-22 12:22 258,048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-10-22 12:22 253,952 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-10-22 12:22 245,760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-10-22 12:22 245,760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-10-22 12:22 241,664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-10-22 12:22 241,664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-10-22 12:22 241,664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-10-22 12:22 229,376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-10-22 12:22 221,184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-10-22 12:22 212,992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-10-22 12:22 212,992 --a------ C:\WINDOWS\system32\nvapi.dll
2006-10-22 12:22 2,973,696 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-10-22 12:22 2,924,544 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-10-22 12:22 2,859,008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-10-22 12:22 196,608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-10-22 12:22 188,416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-10-22 12:22 167,936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-10-22 12:22 163,840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-10-22 12:22 159,810 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-10-22 12:22 147,456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-10-22 12:22 118,784 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-10-22 12:22 1,732,608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-10-22 12:22 1,662,976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-10-22 12:22 1,622,016 --a------ C:\WINDOWS\system32\nwiz.exe
2006-10-22 12:22 1,470,464 --a------ C:\WINDOWS\system32\nview.dll
2006-10-22 12:22 1,339,392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-10-22 12:22 1,236,992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-10-22 12:22 1,019,904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-10-22 12:22 1,011,712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-10-19 12:53 10,475,720 --a------ C:\XLVIEWER.EXE


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-19 20:29 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-19 20:29 -------- d-------- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\AdobeUM
2006-11-19 20:28 -------- d-------- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\Adobe
2006-11-19 20:09 -------- d-------- C:\Programme\CleanUp!
2006-11-19 16:36 -------- d-------- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\DivX
2006-11-18 20:12 -------- d-------- C:\Programme\DivX
2006-11-18 20:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-18 19:45 -------- d-------- C:\Programme\Internet Explorer
2006-11-18 19:41 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-18 19:37 -------- d-------- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\Mozilla
2006-11-18 16:22 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-01 15:15 -------- d-------- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\Lavasoft
2006-10-29 18:45 -------- d-------- C:\Programme\ICQToolbar
2006-10-22 15:59 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-22 12:22 4527488 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-10-22 12:22 3994624 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-10-20 13:04 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-10-19 12:58 -------- d-------- C:\Programme\Microsoft Office
2006-10-15 15:29 -------- d-------- C:\Programme\Winamp
2006-10-15 15:28 6512888 --a------ C:\winamp53_full_emusic-7plus.exe
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-03 15:16 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-10-03 15:16 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-10-03 15:16 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 20:04 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 20:04 635486 --a------ C:\WINDOWS\system32\DivX.dll
2006-09-26 15:31 -------- d---s---- C:\Dokumente und Einstellungen\Felix Nitschke\Anwendungsdaten\Microsoft
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 19:41 0 -rahs---- C:\MSDOS.SYS
2006-08-25 19:41 0 -rahs---- C:\IO.SYS
2006-08-25 19:41 0 --a------ C:\CONFIG.SYS
2006-08-25 19:41 0 --a------ C:\AUTOEXEC.BAT
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-25 04:47 129784 --------- C:\WINDOWS\system32\pxafs.dll
2006-08-25 04:47 115880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{40dcff6e-af8d-4183-8ebe-a82270ac449e}"="gimmicks"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Perfect Codec\\isamonitor.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"gimmicks"="{40dcff6e-af8d-4183-8ebe-a82270ac449e}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-19 20:47:12.85
C:\ComboFix.txt ... 06-11-19 20:47

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 505F-9974

Verzeichnis von C:\DOKUME~1\FELIXN~1\LOKALE~1\Temp

19.11.2006 20:52 289 datFind.zip
19.11.2006 20:28 16.384 ~DF53D5.tmp
19.11.2006 20:28 512 ~DFC35A.tmp
19.11.2006 20:28 16.384 ~DFC34E.tmp
4 Datei(en) 33.569 Bytes
0 Verzeichnis(se), 14.494.814.208 Bytes frei

18.11.2006 20:12 70.580 perfc007.dat
18.11.2006 20:12 405.118 perfh007.dat
18.11.2006 20:12 827.488 PerfStringBackup.INI
16.11.2006 06:20 10.474.920 MRT.exe
22.10.2006 15:06 208.896 NVUNINST.EXE
22.10.2006 12:22 1.236.992 nvwss.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 505F-9974

Verzeichnis von C:\WINDOWS

19.11.2006 20:28 4.087 vista32.ini
19.11.2006 20:15 0 0.log
19.11.2006 20:14 159 wiadebug.log
19.11.2006 20:14 1.120.273 WindowsUpdate.log
19.11.2006 20:14 50 wiaservc.log
19.11.2006 20:14 2.048 bootstat.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 505F-9974

Verzeichnis von C:\

19.11.2006 20:55 0 sys.txt
19.11.2006 20:55 445 down.txt
19.11.2006 20:55 117 tmp.txt
19.11.2006 20:54 9.680 system.txt
19.11.2006 20:54 442 systemtemp.txt
19.11.2006 20:53 97.473 system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 505F-9974

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.08.2006 19:40 65 desktop.ini
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
4 Datei(en) 393.281 Bytes
0 Verzeichnis(se), 14.494.797.824 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 505F-9974

Verzeichnis von C:\WINDOWS\Temp

Also es ist ein kleines blinkendes Zeichen unten rechts auf der Taskleiste zu sehen , das wenn ich es anklicke und versuche zu eliminieren eine Seite aufruft(von Virus Busters)
Es gibt mir außerdem regelmäßig Nachichten von critical system errors. Habe nun auch schon Bitdefender, Adaware durchlaufen lassen und einen Trojaner gelöscht genaue Bezeichnung habe ich mir nicht gemerkt.
Ich danke schon mal im Voraus.

#2 schönentag

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Perfect Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ab340860-fd81-4a65-b345-82eb77a66b5e}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7F78A644-C4A7-4F71-BA4E-5323AA95E7D5}

Files to delete:
C:\WINDOWS\system32\dcvwaah.dll

Folders to delete:
C:\Programme\Perfect Codec
C:\Programme\VirusBursters

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Perfect Codec\isaddon.dll (file missing)

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Zusammen,

ich habe mir diesen Virus leider auch eingefangen und bin mit meinem Latein am Ende. Ich hoffe Ihr könnt mir weiterhelfen. Hier die Logfile von HijackThis:


======================================


Logfile of HijackThis v1.99.1
Scan saved at 00:24:35, on 30.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Programme\AnyDVD\AnyDVD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\Kaspersky\avp.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
D:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
D:\Programme\Kaspersky\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\FireFox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\hijackthis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1af7ea2ce5f68313959feea3558dfbe7\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\Clone DVD\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "d:\programme\clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [svshost32] svshost32.exe
O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\Run: [IPOT Service Drivers] compaq.exe
O4 - HKLM\..\Run: [nxxzlm] c:\windows\system32\ouqbmr.exe r
O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\Run: [TTS Sync] testtts.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "D:\Programme\fine reader pro 7.0\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky\avp.exe"
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\RunServices: [IPOT Service Drivers] compaq.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe
O4 - HKCU\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKCU\..\Run: [svshost32] svshost32.exe
O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKCU\..\Run: [IPOT Service Drivers] compaq.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\Run: [TTS Sync] testtts.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [IPOT Service Drivers] compaq.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Project Professional\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky\scieplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{7464489F-227D-4E58-A90F-620DE1CD3D70}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: "D:\PROGRA~1\KASPER~1\adialhk.dll"
O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\System32\tpedvf.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - D:\Programme\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

#4 Piecemaker

trotz deines schoenen Nicks muss ich dir leider sagen, dass dein Rechner nur aus Viren, Wuermern und Rootkits besteht - ein Wunder, dass du es bis hier ins Forum geschafft hast
formatiere sofort, nimm diese Virenschleuder aus dem Netz - dann , nachdem du alles platt gemacht hast, denke ernsthaft ueber die Windowsupdates nach (SP2) - und komme mit einem neuen und hoffentlich sauberen HijackTHis wieder.
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Jetzt hats mich auch erwischt.

Logfile of HijackThis v1.99.1
Scan saved at 16:23:01, on 30.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Brain Codec\pmsngr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Brain Codec\pmmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Electronic Arts\EA Link\Core.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Leif\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/intl/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Brain Codec\isaddon.dll (file missing)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {F6099E08-C748-46D1-899E-7CC4393EE3C9} - C:\WINDOWS\system32\pmnlj.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Programme\Brain Codec\iesplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Steam] "d:\spiele\cs (steam)\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Link\Core.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: GelbeSeiten - {45D24C55-1116-42BB-8999-B315E7C69A70} - http://www.gelbeseiten.de (file missing)
O9 - Extra button: (no name) - {55D24C55-1116-42BB-8999-B315E7C69A70} - (no file)
O9 - Extra button: (no name) - {65D24C55-1116-42BB-8999-B315E7C69A70} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152899157750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: pmnlj - C:\WINDOWS\system32\pmnlj.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winije32 - winije32.dll (file missing)
O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\system32\xxfgmy.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

Danke schonmal für eure Hilfe.

#6 Appel

0.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Brain Codec

in edit und klicke "Ok".
Notepad wird sich oeffnen - hier posten

in: "Enter search strings" (reinschreiben oder reinkopieren)

ToolBar888

in edit und klicke "Ok".
Notepad wird sich oeffnen - hier posten

--------------------------------------------------------------------------
1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 30.11.2006 16:46:55 for strings:
; 'brain codec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}\InprocServer32]
@="C:\\Programme\\Brain Codec\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}\InprocServer32]
@="C:\\Programme\\Brain Codec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Brain Codec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Brain Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Brain Codec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec]
"DisplayName"="Brain Codec 3.0"
"UninstallString"="C:\\Programme\\Brain Codec\\uninst.exe"
"DisplayIcon"="C:\\Programme\\Brain Codec\\uninst.exe"
"Publisher"="Brain Codec Software"

[HKEY_USERS\S-1-5-21-1229272821-1177238915-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Brain Codec\\isamonitor.exe"="isamonitor"
"C:\\Programme\\Brain Codec\\pmsngr.exe"="pmsngr"
"C:\\Programme\\Brain Codec\\uninst.exe"="uninst"

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 30.11.2006 16:48:36 for strings:
; 'toolbar888'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\InprocServer32]
@="C:\\Programme\\ToolBar888\\MyToolBar.dll"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0]
@="ToolBar888 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32]
@="C:\\Programme\\ToolBar888\\MyToolBar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR]
@="C:\\Programme\\ToolBar888\\"

; End Of The Log...

-------------------------------------------------

06-11-30 16:52:36,20 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Leif\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{E010B01F-08A2-1031-0512-060216060031}


((((((((((((((((((((((((((((((( Files Created from 2006-10-30 to 2006-11-30 ))))))))))))))))))))))))))))))))))


2006-11-30 15:26 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2006-11-30 14:50 <DIR> d--hs---- C:\Config.Msi
2006-11-30 14:46 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2006-11-30 13:48 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-29 20:39 <DIR> d-------- C:\Programme\CleanUp!
2006-11-29 20:29 <DIR> d-------- C:\Programme\Brain Codec
2006-11-19 11:40 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-17 19:53 3,076,096 --------- C:\WINDOWS\UNNeroSipps.exe
2006-11-16 16:49 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-11-08 20:04 702,188 --a------ C:\WINDOWS\system32\Straubing Tigers Screensaver RauteBlue.scr
2006-11-06 20:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\SecuROM
2006-11-06 20:05 <DIR> d-------- C:\Programme\Electronic Arts
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-02 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\temp


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-30 16:53 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-30 16:25 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-30 16:22 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Xfire
2006-11-30 15:39 -------- d---s---- C:\Programme\Xfire
2006-11-30 15:34 -------- d-------- C:\Programme\Internet Explorer
2006-11-30 15:34 -------- d-------- C:\Programme\ICQToolbar
2006-11-30 15:34 -------- d-------- C:\Programme\ICQLite
2006-11-30 15:33 -------- d-------- C:\Programme\DAEMON Tools
2006-11-30 13:48 -------- d-------- C:\Programme\Grisoft
2006-11-26 11:10 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\teamspeak2
2006-11-17 20:06 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Ahead
2006-11-17 19:55 -------- d-------- C:\Programme\Nero
2006-11-17 19:52 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-11-06 20:05 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-05 10:11 -------- d-------- C:\Programme\Java
2006-10-26 05:49 -------- d-------- C:\Programme\Sony Ericsson
2006-10-26 01:24 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Sony
2006-10-26 01:24 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Publish Providers
2006-10-26 01:15 -------- d--h----- C:\Programme\Uninstall Information
2006-10-26 01:15 -------- d-------- C:\Programme\Microsoft SQL Server
2006-10-26 01:14 -------- d-------- C:\Programme\Sony
2006-10-25 17:38 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-08 14:32 -------- d-------- C:\Programme\LimeWire
2006-10-07 15:30 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Skype
2006-10-07 13:01 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Adobe
2006-10-07 12:45 -------- d---s---- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Microsoft
2006-10-07 12:39 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Teleca
2006-10-07 12:37 -------- d-------- C:\Programme\Adobe
2006-10-07 12:36 -------- d-------- C:\Programme\Disc2Phone
2006-10-07 12:35 -------- d-------- C:\Programme\QuickTime
2006-10-07 12:35 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Apple Computer
2006-10-07 12:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-10-07 12:32 89872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
2006-10-07 12:32 81728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
2006-10-07 12:32 79488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
2006-10-07 12:32 6576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
2006-10-07 12:32 6144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
2006-10-07 12:32 6144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2006-10-07 12:32 5744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
2006-10-07 12:32 5744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
2006-10-07 12:32 55216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
2006-10-05 20:57 -------- d-------- C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\AdobeUM
2006-09-30 10:55 -------- d-------- C:\Programme\EA SPORTS
2006-09-30 08:09 778656 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Steam"="\"d:\\spiele\\cs (steam)\\steam.exe\" -silent"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"EA Core"="C:\\Programme\\Electronic Arts\\EA Link\\Core.exe -silent"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"LXSUPMON"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"BearShare"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"SpecifyDefaultButtons"=dword:00000001
"Btn_Search"=dword:00000002
"Btn_Folders"=dword:00000002
"Btn_PrintPreview"=dword:00000002
"Btn_Encoding"=dword:00000002
"Btn_Paste"=dword:00000002
"Btn_Copy"=dword:00000002
"Btn_Cut"=dword:00000002
"Btn_Discussions"=dword:00000002
"Btn_Edit"=dword:00000002
"Btn_Size"=dword:00000002
"Btn_MailNews"=dword:00000002
"Btn_Tools"=dword:00000002
"Btn_Fullscreen"=dword:00000002
"Btn_History"=dword:00000002
"Btn_Media"=dword:00000002
"Btn_Print"=dword:00000002
"Btn_Favorites"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Brain Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Brain Codec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"emptins"="{588599f4-de26-4c28-ba14-f4eb17e33481}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winije32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-30 16:53:18.81
C:\ComboFix.txt ... 06-11-30 16:53






30.11.2006 16:25 456.114 perfh007.dat
30.11.2006 16:25 434.366 perfh009.dat
30.11.2006 16:25 78.064 perfc009.dat
30.11.2006 16:25 92.800 perfc007.dat
30.11.2006 16:25 3.884 PerfStringBackup.INI
30.11.2006 16:21 13.646 wpa.dbl
30.11.2006 16:21 63.804 nvapps.xml
30.11.2006 15:29 0 asfiles.txt
30.11.2006 15:26 2.550 Uninstall.ico
30.11.2006 15:26 1.406 Help.ico
30.11.2006 15:26 30.590 pavas.ico
16.11.2006 06:20 10.474.920 MRT.exe
08.11.2006 20:04 702.188 Straubing Tigers Screensaver RauteBlue.scr
05.11.2006 10:11 8.891 jupdate-1.5.0_09-b03.log
04.11.2006 14:14 1.245.696 msxml4.dll
25.10.2006 17:38 98.304 CmdLineExt.dll
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 64.000 nwapi32.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 65.536 nwwks.dll
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
07.10.2006 16:12 123.728 FNTCACHE.DAT
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.022.976 browseui.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll




Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E010-B01F

Verzeichnis von C:\DOKUME~1\Leif\LOKALE~1\Temp

30.11.2006 17:02 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31353.html
30.11.2006 16:22 16.384 ~DFCA32.tmp
30.11.2006 16:22 512 ~DFDE7E.tmp
30.11.2006 16:22 16.384 ~DFDDCB.tmp
30.11.2006 16:22 512 ~DFDDBC.tmp
30.11.2006 16:22 16.384 ~DFDC3D.tmp
30.11.2006 16:22 512 ~DFDBCE.tmp
30.11.2006 16:22 16.384 ~DFDA90.tmp
30.11.2006 16:22 512 ~DFD995.tmp
30.11.2006 16:22 16.384 ~DFD92D.tmp
30.11.2006 16:21 16.384 ~DFC01E.tmp
30.11.2006 16:21 512 ~DF4A58.tmp
30.11.2006 16:21 16.384 ~DF496D.tmp
13 Datei(en) 118.226 Bytes
0 Verzeichnis(se), 57.296.248.832 Bytes frei




Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E010-B01F

Verzeichnis von C:\WINDOWS

30.11.2006 16:28 1.467.201 WindowsUpdate.log
30.11.2006 16:21 159 wiadebug.log
30.11.2006 16:21 50 wiaservc.log
30.11.2006 16:21 0 0.log
30.11.2006 16:21 2.048 bootstat.dat
30.11.2006 16:20 32.612 SchedLgU.Txt
30.11.2006 15:29 632 win.ini
30.11.2006 15:27 688.332 setupapi.log
30.11.2006 14:02 104.578 ntbtlog.txt
28.11.2006 13:56 54.156 QTFont.qfn
27.11.2006 21:30 143 NeroDigital.ini
27.11.2006 20:50 1.409 QTFont.for
26.11.2006 10:56 80.541 wmsetup.log
22.11.2006 20:19 144.320 DirectX.log
19.11.2006 11:40 182.282 comsetup.log
19.11.2006 11:40 1.393 imsins.log
19.11.2006 11:40 645.098 iis6.log
19.11.2006 11:40 90.503 netfxocm.log
19.11.2006 11:40 36.625 MedCtrOC.log
19.11.2006 11:40 25.821 tabletoc.log
19.11.2006 11:40 243.684 tsoc.log
19.11.2006 11:40 17.104 KB923980.log
19.11.2006 11:40 29.362 ocmsn.log
19.11.2006 11:40 110.776 ntdtcsetup.log
19.11.2006 11:40 268.292 ocgen.log
19.11.2006 11:40 26.418 msgsocm.log
19.11.2006 11:40 509.645 FaxSetup.log
19.11.2006 11:40 174.992 msmqinst.log
19.11.2006 11:40 1.393 imsins.BAK
19.11.2006 11:40 16.753 KB924270.log
19.11.2006 11:40 32.140 updspapi.log
19.11.2006 11:39 15.641 KB920213.log
19.11.2006 11:39 17.569 KB922760.log
18.11.2006 15:00 174.629 setupact.log
31.10.2006 20:35 23 BlendSettings.ini
26.10.2006 01:15 3.720 dahotfix.log
26.10.2006 01:15 19.448 dasetup.log
13.10.2006 18:11 13.624 KB924191.log
13.10.2006 18:10 13.219 KB922819.log
13.10.2006 18:10 11.422 KB923414.log
13.10.2006 18:10 11.414 KB924496.log
13.10.2006 18:09 8.726 KB923191.log
07.10.2006 13:05 3.932.214 wallpaper.bmp
07.10.2006 12:33 354.714 DPINST.LOG
27.09.2006 12:49 10.509 KB925486.log
15.09.2006 13:50 10.046 KB920685.log
15.09.2006 13:50 12.118 KB920872.log
15.09.2006 13:50 13.160 KB919007.log
14.09.2006 21:28 9.020 KB922582.log


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E010-B01F

Verzeichnis von C:\WINDOWS\Temp



Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E010-B01F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
14.07.2006 20:03 65 desktop.ini
26.05.2005 03:19 291 wuweb.inf
4 Datei(en) 142.317 Bytes
0 Verzeichnis(se), 57.296.224.256 Bytes frei




Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: E010-B01F

Verzeichnis von C:\

30.11.2006 17:05 0 sys.txt
30.11.2006 17:05 433 down.txt
30.11.2006 17:04 111 tmp.txt
30.11.2006 17:03 9.678 system.txt
30.11.2006 17:02 922 systemtemp.txt
30.11.2006 16:59 105.760 system32.txt
30.11.2006 16:56 11.080 ComboFix.txt
30.11.2006 16:21 1.610.612.736 pagefile.sys
26.11.2006 21:20 3.012 drmHeader.bin
22.11.2006 20:26 14.789 crashAddress.txt
18.11.2006 15:12 750 ROD.LOG


Sry wenn ich hier jetzt was falsch gemacht hab aber ich kenn mich nicht so gut aus.

#8 Hallo,

mein System wurde auch zum Opfer. Wäre schön wenn du mir auch helfen könntest .

Logfile of HijackThis v1.99.1
Scan saved at 19:32:43, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Omi\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {30C5C85A-6783-5CAA-E956-77B75FA0304D} - C:\DOKUME~1\Omi\ANWEND~1\longlies\Less Poke.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Gold Codec\isaddon.dll (file missing)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10111} - C:\Programme\TrueDownloader\truedownloaderie.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DebugCool] C:\DOKUME~1\Omi\ANWEND~1\LOCKSF~1\Rdr store.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{766E0F88-E8E8-4B5B-A1AC-59A03F245C56}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\system32\xxfgmy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke

#9 Appel

Start - Ausfuehren - regedit
oben links - bearbeiten - suchen - eingeben:ToolBar888

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj - loeschen
@="ToolBar888"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1- loeschen
@="ToolBar888"

---------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{588599f4-de26-4c28-ba14-f4eb17e33481}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|emptins
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winije32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6099E08-C748-46D1-899E-7CC4393EE3C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKLM\SOFTWARE\Classes\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}
HKLM\SOFTWARE\Classes\CLSID\{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Brain Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F6099E08-C748-46D1-899E-7CC4393EE3C9}

Files to delete:
C:\WINDOWS\system32\xxfgmy.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\WINDOWS\system32\ActiveScan
C:\Programme\ToolBar888
C:\Programme\Brain Codec

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 G4llard064

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:34:00 01.12.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119208.exe -> Adware.Director : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119207.exe -> Adware.SaveNow : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119210.dll -> Adware.Virtumonde : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP156\A0119396.dll -> Downloader.Zlob.ako : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP152\A0119246.exe -> Downloader.Zlob.ec : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0117850.exe -> Dropper.Agent.azn : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119211.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119212.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119213.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Gesäubert.
C:\System Volume Information\_restore{E29C6FA9-3EF7-48E4-B546-FF41FC029BCF}\RP151\A0119214.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.74:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Addcontrol : Gesäubert.
:mozilla.13:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@adtech[1].txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.95:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Com : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
:mozilla.56:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.57:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.19:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.20:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.21:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.34:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.76:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.77:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.78:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.92:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert.
:mozilla.79:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Quarterserver : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert.
:mozilla.80:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.81:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.82:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.83:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.84:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.93:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.103:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.104:C:\Dokumente und Einstellungen\Leif\Anwendungsdaten\Mozilla\Firefox\Profiles\bta3jiap.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\Dokumente und Einstellungen\Leif\Cookies\leif@zedo[2].txt -> TrackingCookie.Zedo : Gesäubert.


::Berichtende


Muss ich jetzt noch was machen???

#12 Appel

««
hast du mit smitfraufix gescannt ?

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
+
sich freuen - und mehr Vorsicht bei Codecs ....
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ja ich hab mit Smitfraudfix gescannt.

Danke nochmal hast mir echt geholfen!!!

#14 Omi - 06-12-01 20:41:02,34 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Omi\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-01 to 2006-12-01 ))))))))))))))))))))))))))))))))))


2006-11-28 20:23 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-11-28 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-27 20:24 <DIR> d-------- C:\Programme\ESBPCS4 Trial
2006-11-27 20:16 <DIR> d-------- C:\Programme\ComponentAce
2006-11-27 19:23 <DIR> d-------- C:\FPC
2006-11-27 18:07 77,824 --a------ C:\WINDOWS\system32\xxfgmy.dll
2006-11-27 18:07 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-27 16:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Omi\.gybuzm
2006-11-27 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\Omi\.borland
2006-11-27 16:39 <DIR> d-------- C:\Programme\Borland
2006-11-27 16:22 <DIR> d-------- C:\Programme\Microsoft Visual Studio .NET 2003
2006-11-27 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2006-11-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\Omi\.DownloadManager
2006-11-26 21:37 <DIR> d-------- C:\Programme\DAEMON Tools
2006-11-26 21:36 639,224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-11-22 20:12 <DIR> d-------- C:\Programme\DVD Shrink
2006-11-22 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2006-11-22 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\Elaborate Bytes
2006-11-16 22:50 <DIR> d-------- C:\Programme\Shutdown4U
2006-11-15 22:09 <DIR> d-------- C:\Programme\VideoraiPodConverter
2006-11-15 22:09 <DIR> d-------- C:\Programme\AviSynth 2.5
2006-11-15 21:20 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-09 18:26 <DIR> d-------- C:\Programme\AutoStreamer
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-01 20:36 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-30 22:29 -------- d-------- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\FRITZ!
2006-11-28 22:39 -------- d-------- C:\Programme\Everest Poker
2006-11-28 22:39 -------- d-------- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\locks fork settings
2006-11-28 20:38 -------- d-------- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\longlies
2006-11-28 20:35 61072 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-11-28 20:35 59536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-11-27 17:25 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-27 16:27 -------- d---s---- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\Microsoft
2006-11-27 16:22 -------- d-------- C:\Programme\Microsoft.NET
2006-11-27 16:22 -------- d-------- C:\Programme\Microsoft Office
2006-11-27 16:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-22 19:00 85 ---hs---- C:\Dokumente und Einstellungen\Omi\Anwendungsdaten\.zreglib
2006-11-20 18:56 -------- d-------- C:\Programme\SFT Loader
2006-11-15 21:20 -------- d-------- C:\Programme\Internet Explorer
2006-11-15 19:46 -------- d-------- C:\Programme\Macromedia
2006-11-15 19:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-11-01 21:12 -------- d-------- C:\Programme\PartyGaming.Net
2006-10-31 17:12 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-19 17:57 -------- d-------- C:\Programme\Advanced IP Scanner
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-09 16:51 -------- d-------- C:\Programme\Windows Media Player
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"DebugCool"="C:\\DOKUME~1\\Omi\\ANWEND~1\\LOCKSF~1\\Rdr store.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"kis"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"Register Homesite+.exe"="C:\\Programme\\Macromedia\\HomeSite+\\Homesite+.exe /REGSERVER"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cc,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cc,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
"emptins"="{588599f4-de26-4c28-ba14-f4eb17e33481}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Omi^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Omi\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Omi^Startmenü^Programme^Autostart^Miranda IM.lnk]
"path"="C:\\Dokumente und Einstellungen\\Omi\\Startmenü\\Programme\\Autostart\\Miranda IM.lnk"
"backup"="C:\\WINDOWS\\pss\\Miranda IM.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MIRAND~1\\MIRAND~1.EXE "
"item"="Miranda IM"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DebugCool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Rdr store"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Omi\\ANWEND~1\\LOCKSF~1\\Rdr store.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Film Inter Base Bolt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Vga Bore"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\beep creative film inter\\Vga Bore.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb04"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NetPumperIEProxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sgtray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VTTimer"
"hkey"="HKLM"
"command"="VTTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job

Completion time: 06-12-01 20:43:25.67
C:\ComboFix.txt ... 06-12-01 20:43

#15 G4llard064

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit