ungewollte umleitung in opera, ff und ie ...

#16 nun wende option 2 an, nach anweisung auf der seite - der rechner wird neu starten - poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#17 erstmal das logfile

Code

L2mfix 051206
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges. 
Checking for L2MFix account(0=no 1=yes): 
1
 Granting SeDebugPrivilege to L2MFIX   ... successful
 
Running From:
C:\WINDOWS\system32
 
Killing Processes! 
  Killing 'smss.exe'
\SystemRoot\System32\smss.exe (748)
  Killing 'winlogon.exe'
winlogon.exe    (844)
  Killing 'explorer.exe'
C:\WINDOWS\Explorer.EXE (632)
  Killing 'rundll32.exe'
Restoring Sedebugprivilege:
 Granting SeDebugPrivilege to Administratoren   ... successful
 
Scanning First Pass. Please Wait!
 
First Pass Completed 
 
Second Pass Scanning 
 
Second pass Completed!
 
 
 
Restoring Windows Update Certificates.:
 
The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

 
The following are the files found: 
****************************************************************************
 
Registry Entries that were Deleted: 
Please verify that the listing looks ok.  
If there was something deleted wrongly there are backups in the backreg folder. 
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents: 
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes): 
0
Zipping up files for submission:
    zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
  adding: backregs/notibac.reg (188 bytes security) (deflated 88%)
  adding: backregs/shell.reg (188 bytes security) (deflated 73%)

dann ein neues hijackthis log
es hies nach dem fixxen dass, ein eintrag in hijackthis gefixxed werden müsste (´O20 - missing file)

ich glaube aber nicht, dass ich diesen eintrag löschen sollte.
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Code

Logfile of HijackThis v1.99.1
Scan saved at 18:15:08, on 01.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
D:\Programme\DAEMON Tools\daemon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Opera\op.com
C:\WINDOWS\Explorer.EXE
E:\backup\ProgZ\HijackThis2.com

O4 - HKLM\..\Run: [DAEMON Tools] "d:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1} (Zenturi Active Programs Control) - http://www.programchecker.com/dll/nixon.cab
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

vielleicht kannst du mir auch ein wenig erklären, was ich da alles jetzt gemacht habe und mache, bislang vertraue ich dir da blind.

mfg spotting

edit, der fehler tritt übrigens weiterhin auf. sollte ich es mit einer reperaturinstallation/neuinstallation versuchen?

#18 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

ist wieder in Ordnung
»»

nun poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19

Code

spot - 07-01-01 19:17:03,26    Service Pack 2
ComboFix 06.11.27 - Running from: "D:\Desktop-spot\REPAIR"

(((((((((((((((((((((((((((((((   Files Created from 2006-12-01 to 2007-01-01  ))))))))))))))))))))))))))))))))))
 
 
2007-01-01    17:12    <DIR>    d--------    C:\l2mfix
2006-12-31    22:31    76,800    --a------    C:\WINDOWS\system32\fdeploy.dll
2006-12-31    22:31    610,304    --a------    C:\WINDOWS\system32\wsecedit.dll
2006-12-31    22:31    577,024    --a------    C:\WINDOWS\system32\gpedit.dll
2006-12-31    22:31    301,568    --a------    C:\WINDOWS\system32\appmgr.dll
2006-12-31    22:31    201,216    --a------    C:\WINDOWS\system32\gptext.dll
2006-12-31    22:31    175,616    --a------    C:\WINDOWS\system32\appmgmts.dll
2006-12-31    22:31    <DIR>    d--h-----    C:\WINDOWS\system32\GroupPolicy
2006-12-31    22:30    <DIR>    d--------    C:\PCWELT
2006-12-31    19:29    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism
2006-12-31    19:12    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zenturi
2006-12-31    15:41    <DIR>    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Ahead
2006-12-31    15:36    <DIR>    d--------    C:\fixwareout
2006-12-30    22:46    668    --a------    C:\datFind.bat
2006-12-29    21:06    <DIR>    d--------    C:\WINDOWS\system32\NtmsData
2006-12-29    14:37    <DIR>    d--------    C:\WINDOWS\system32\ActiveScan
2006-12-28    15:42    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IconTweaker
2006-12-28    14:33    3,968    --a------    C:\WINDOWS\system32\drivers\avgclean.sys
2006-12-28    14:33    18,240    --a------    C:\WINDOWS\system32\drivers\avgmfx86.sys
2006-12-28    10:45    <DIR>    dr-h-----    C:\Dokumente und Einstellungen\spot\Recent
2006-12-27    14:20    1,300    --a------    C:\WINDOWS\system32\cool.dll
2006-12-25    20:43    <DIR>    d--------    C:\Powertoys
2006-12-22    22:57    <DIR>    d--------    C:\portable_firefox_2
2006-12-22    16:26    <DIR>    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\IrfanView
2006-12-18    21:38    <DIR>    d--------    C:\Dokumente und Einstellungen\spot\.dvdcss
2006-12-16    02:59    <DIR>    d--------    C:\firefox2
2006-12-13    19:30    <DIR>    d--------    C:\Opera
2006-12-02    09:14    <DIR>    d--------    C:\WINDOWS\WBEM
2006-12-02    09:14    <DIR>    d--------    C:\WINDOWS\system32\de-de
2006-12-02    09:13    <DIR>    d--h-c---    C:\WINDOWS\ie7
2006-12-02    09:12    121,856    ---------    C:\WINDOWS\system32\xmllite.dll
2006-12-02    09:12    <DIR>    d--------    C:\WINDOWS\network diagnostic


((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-01 19:17    2482    --a------    C:\ComboFix.txt
2007-01-01 19:17    2482    --a------    C:\ComboFix.txt
2006-12-31 19:35    --------    d--------    C:\WINDOWS
2006-12-31 19:35    --------    d--------    C:\WINDOWS
2006-12-31 15:44    16376    --a------    C:\ComboFix2.txt
2006-12-31 15:44    16376    --a------    C:\ComboFix2.txt
2006-12-31 12:15    4682    --a------    C:\system.txt
2006-12-31 12:15    4682    --a------    C:\system.txt
2006-12-31 12:15    1568    --a------    C:\sys.txt
2006-12-31 12:15    1568    --a------    C:\sys.txt
2006-12-31 12:15    126    --a------    C:\systemtemp.txt
2006-12-31 12:15    126    --a------    C:\systemtemp.txt
2006-12-31 12:15    1177    --a------    C:\down.txt
2006-12-31 12:15    1177    --a------    C:\down.txt
2006-12-31 12:15    111    --a------    C:\tmp.txt
2006-12-31 12:15    111    --a------    C:\tmp.txt
2006-12-31 12:15    108048    --a------    C:\system32.txt
2006-12-31 12:15    108048    --a------    C:\system32.txt
2006-12-31 06:56    --------    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Free Download Manager
2006-12-30 11:37    --------    d--------    C:\Downloads
2006-12-30 11:37    --------    d--------    C:\Downloads
2006-12-30 04:58    --------    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Macromedia
2006-12-30 00:19    212    ---hs----    C:\boot.ini
2006-12-30 00:19    212    ---hs----    C:\boot.ini
2006-12-29 18:30    2610    --a------    C:\ipconfig.txt
2006-12-29 18:30    2610    --a------    C:\ipconfig.txt
2006-12-28 14:35    --------    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\AVG7
2006-12-28 14:33    816672    --a------    C:\WINDOWS\system32\drivers\avg7core.sys
2006-12-28 14:33    4224    --a------    C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-12-28 14:33    28416    --a------    C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-12-28 00:32    --------    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\FrostWire
2006-12-22 19:26    3067482    --a------    C:\TVUPlayer.zip
2006-12-22 19:26    3067482    --a------    C:\TVUPlayer.zip
2006-12-22 16:21    --------    d---s----    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Microsoft
2006-12-17 14:06    --------    d--hs----    C:\System Volume Information
2006-12-17 14:06    --------    d--hs----    C:\System Volume Information
2006-12-07 06:29    2374472    --a------    C:\WINDOWS\system32\wmvcore.dll
2006-11-23 07:36    --------    d--------    C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Media Player Classic
2006-11-08 06:06    679424    --a------    C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03    6049280    ---------    C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03    50688    ---------    C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03    458752    ---------    C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03    413696    --a------    C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03    231424    --a------    C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03    180736    ---------    C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03    156160    --a------    C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27    382976    --a------    C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:26    71680    --a------    C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26    55296    --a------    C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26    54784    --a------    C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26    43008    --a------    C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26    152064    --a------    C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26    13312    --a------    C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26    123904    --a------    C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25    161792    --a------    C:\WINDOWS\system32\ieakui.dll
2006-11-04 14:14    1245696    --a------    C:\WINDOWS\system32\msxml4.dll
2006-10-25 22:59    737280    --a------    C:\WINDOWS\iun6002.exe
2006-10-20 02:38    715776    --a------    C:\WINDOWS\system32\sxs.dll
2006-10-18 19:58    34308    --a------    C:\WINDOWS\system32\BASSMOD.dll
2006-10-17 12:06    78336    --a------    C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05    40960    --a------    C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05    206336    ---------    C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05    105984    --a------    C:\WINDOWS\system32\url.dll
2006-10-17 12:04    101376    --a------    C:\WINDOWS\system32\occache.dll
2006-10-17 12:03    17408    --a------    C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58    61952    ---------    C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58    12288    ---------    C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57    36352    --a------    C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57    266752    ---------    C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56    45568    --a------    C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28    48128    --a------    C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27    380928    ---------    C:\WINDOWS\system32\ieapfltr.dll
2006-10-16 22:17    888832    --a------    C:\WINDOWS\system32\nvmobls.dll
2006-10-16 22:17    5623808    --a------    C:\WINDOWS\system32\nvdisps.dll
2006-10-16 22:17    5242880    --a------    C:\WINDOWS\system32\nvdispsr.dll
2006-10-16 22:17    458752    --a------    C:\WINDOWS\system32\nvmccssr.dll
2006-10-16 22:17    3207168    --a------    C:\WINDOWS\system32\nvgamesr.dll
2006-10-16 22:17    3067904    --a------    C:\WINDOWS\system32\nvgames.dll
2006-10-16 22:17    3006464    --a------    C:\WINDOWS\system32\nvvitvsr.dll
2006-10-16 22:17    2924544    --a------    C:\WINDOWS\system32\nvvitvs.dll
2006-10-16 22:17    2854912    --a------    C:\WINDOWS\system32\nvmoblsr.dll
2006-10-16 22:17    2465792    --a------    C:\WINDOWS\system32\nvwssr.dll
2006-10-16 22:17    2048000    --a------    C:\WINDOWS\system32\nvwss.dll
2006-10-16 22:17    188416    --a------    C:\WINDOWS\system32\nvmccss.dll
2006-10-13 13:35    146432    --a------    C:\WINDOWS\system32\nwprovau.dll
2006-10-10 20:37    2    --a------    C:\AVPCallback.log
2006-10-10 20:37    2    --a------    C:\AVPCallback.log
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DAEMON Tools"=""d:\\Programme\\DAEMON Tools\\daemon.exe" -lang 1033"
"AVG7_CC"="D:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"C-Media Mixer"="Mixer.exe /startup"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"CoolSwitch"="C:\\WINDOWS\\system32\\taskswitch.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"="D:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\
  53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\
  65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\
  79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
  33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"AVG7_Run"="D:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"nlsf"=hex(2):63,6d,64,2e,65,78,65,20,2f,43,20,6d,6f,76,65,20,2f,59,20,22,25,\
  53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,79,73,73,\
  65,74,75,62,2e,64,6c,6c,22,20,22,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,\
  79,73,74,65,6d,33,32,5c,73,79,73,73,65,74,75,70,2e,64,6c,6c,22,00
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
  33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000fd
"NoSharedDocuments"=dword:00000000
"NoInternetIcon"=dword:00000000
"NoResolveTrack"=dword:00000000
"LinkResolveIgnoreLinkInfo "=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"NoRecentDocsHistory"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoSMHelp"=dword:00000000
"NoSMConfigurePrograms"=dword:00000000
"NoDriveAutoRun"=dword:03ffffff
"CDRAutoRun"=dword:00000000
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableStatusMessages"=dword:00000000
"VerboseStatus"=dword:00000000
"DisableTaskMgr"=dword:00000000
"NoInternetOpenWith"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"=dword:00000000
"NoDriveTypeAutoRun"=hex:b5,00,00,00
"ForceClassicControlPanel"=dword:00000000
"NoActiveDesktopChanges"=dword:00000000
"NoResolveTrack"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoSharedDocuments"=dword:00000000
"NoInternetIcon"=dword:00000000
"NoResolveTrack"=dword:00000000
"LinkResolveIgnoreLinkInfo "=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"NoRecentDocsHistory"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoSMHelp"=dword:00000000
"NoSMConfigurePrograms"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoSharedDocuments"=dword:00000000
"NoInternetIcon"=dword:00000000
"NoResolveTrack"=dword:00000000
"LinkResolveIgnoreLinkInfo "=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"NoRecentDocsHistory"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoSMHelp"=dword:00000000
"NoSMConfigurePrograms"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISUSPM"
"hkey"="HKLM"
"command"="D:\\PROGRA~1\\common\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"=""D:\\Programme\\common\\InstallShield\\UpdateService\\issch.exe" -start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VC8Play"
"hkey"="HKLM"
"command"="D:\\Programme\\Virtual CD v8\\System\\VC8Play.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=dword:00000003
"ose"=dword:00000003
"TUWinStylerThemeSvc"=dword:00000003
"VC8SecS"=dword:00000002
"StarWindService"=dword:00000002
"OOD2000"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]    
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 07-01-01 19:17:48.89 
C:\ComboFix.txt ... 07-01-01 19:17
C:\ComboFix2.txt ... 06-12-31 15:44

deja vu

#20 irgendwas hast du in C:\WINDOWS\system32\GroupPolicy umgestellt - nur was ???
irgendwie habe ich den eindruck, dass du den rechner tuechtig tweakst

»»
deinstalliere / loesche
C:\Dokumente und Einstellungen\spot\Anwendungsdaten\Free Download Manager

««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#21 der Free Download manager ist ein freeware downloadmanager
http://www.freedownloadmanager.org/

einer von wenigen, der mir persöhnlich ganz gut gefällt.

das logfile

Code

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Jan 1, 2007 19:33:30


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Disabled
Start Name: LocalSystem
Description: AdobeLM ...
Service Type: Own Process
Path: "d:\programme\common\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #2
Service Name: aspnet_state
Display Name: ASP.NET-Zustandsdienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Stellt die Unterstützung für  nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #3
Service Name: Avg7Alrt
Display Name: AVG7 Alert Manager Server
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: d:\progra~1\grisoft\avgfre~1\avgamsvr.exe
State: Running
Process ID: 1196
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: Avg7UpdSvc
Display Name: AVG7 Update Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: d:\progra~1\grisoft\avgfre~1\avgupsvc.exe
State: Running
Process ID: 1240
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Disabled
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "d:\programme\common\microsoft shared\vs7debug\mdm.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: OOD2000
Display Name: O&O Defrag 2000
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\windows\system32\ood2000.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: ose
Display Name: Office Source Engine
Start Mode: Disabled
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\common\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: d:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #10
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{66cb2e22-0ae5-4219-8a0a-32f9113dd368}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "d:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: UPHClean
Display Name: User Profile Hive Cleanup
Start Mode: Disabled
Start Name: LocalSystem
Description: Cleans up handles to allow unloading of user profile hive.  This can help speed up logging off, ...
Service Type: Own Process
Path: d:\programme\uphclean\uphclean.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: VC8SecS
Display Name: Virtual CD v8 Management Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Provides support for using virtual CD ...
Service Type: Own Process
Path: d:\programme\virtual cd v8\system\vc8secs.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 90 Win32 services on this machine.
13 were unrecognized.

Script Execution Time: 0,90625 seconds.

#22 *öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager

poste, was du findest
__________
MfG Sabina

rund um die PC-Sicherheit

#23

Code

# Copyright © 1993-1999 Microsoft Corp.
#  
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#  
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#  
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#  
# For example:
#  
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#  
127.0.0.1 localhost

mehr nicht.

#24 es ist alles i.o. - ich verstehe nicht, wieso der Browser noch umgeleitet wird.
tritt das bei allen Browsern auf ?
__________
MfG Sabina

rund um die PC-Sicherheit

#25 nun, in der letzten stunde bin ich davon verschont geblieben,

der fehler, sobald ich ihn unter opera@usb merke wirkt sich auch auf die anderen beiden browser in meinem system (internet explorer und portable firefox 2.0) auf.

nun, ich schlage vor, wir warten jetzt erstmal ein paar stunden ab, ich versuche gerade zu testen, ob am gleichen rechner der fehler auch unter linux auftritt, (muss da aber erst meinen wlan stick installieren...).
an einem laptop im gleichen netz tritt der fehler nicht auf.

wäre nett, wenn du noch einmal antworten könntest, und mir erklärst, was ich da jetzt gemacht habe...

außerdem würde ich dann die möglichkeit einer push antwort bekommen.
wenn der fehler wieder auftritt.

mfg spotting

#26 ««
meiner Ansicht nach lag der Fehler hier:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

««
und nach Behebendes des Fehlers sollten die umleitungen aufhoeren
__________
MfG Sabina

rund um die PC-Sicherheit

#27 update: !!!

also, ich habe jetzt meine opera@usb 9.1 version von meinem rechner auf meinen laptop übertragen (vorher opera@usb 8.5)

und sofort war ein vergleichbarer fehler auch auf dem laptop erschienen.

kann es sein, dass durch das aufrufen von mehreren seiten gleichzeitig (was ja bei gespeicherten sessions während z.B. des browser neustarts auftritt) mein router nicht mehr mit macht?

ich habe jetzt die neueste firmware meines siemens gigaset se515 installiert
und die ersten drei testneustarts mit jeweils mehr als 10 geöffneten tabs blieben ohne fehler ...

Code

Version 2.14.02.19_BA09b6f
- Autodetect der MTU möglich. Bei "Andere Provider" war das automatische Erkennen der MTU nicht möglich. Es war immer 1492 eingestellt. Bei Providern mit besonderen MTU Anforderungen (z.B.AOL hat 1400) konnte es Probleme geben.


Version 2.14.02.18b_BA09b6f
- Verbesserung des DSL Treibers
- Es sind verschiedene kleine Fehler im WEB Interface behoben worden.
- Probleme mit dem URL Filter behoben(Bei aktiven URL Filter konnten teilweise Internetseiten nicht angezeigt werden)
- DynDNS Unterstützung verbessert
- Fehler im DNS Relay behoben (siehe C’t 23/04)
- Virtual Server: Überarbeitung und Korrektur der vordefinierten Dienste 

Hinweis:
------------
Version 2.14.02.16_BA09b6e
- PPPoE Pass-Through (PPPoE Modemfunktion) ist in den Werkseinstellungen deaktiviert. Bei Bedarf kann diese Funktion im Installations-Setup aktiviert werden.

der punkt mit dem url filter klingt interressant. auch mit dem dns relay.

mal sehen, ob es das jetzt gewesen ist.

mfg spotting|müde

#28 interessante Idee - URL Filter
nicht alles sind Viren...........
wende es von zeit zu zeit an:
http://virus-protect.org/mruclear.html

und berichte, wie es weiterhin so laeuft.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 so, nach knapp einem monat kann ich hier nochmal eine abschließende meldung und frage bringen.

das problem der umleitungen ist seit dem router firmware update nicht weiter aufgetreten. von daher ist jetzt wieder alles gut.

aber eine frage habe ich noch,

warum bekomme ich den eintrag

O18 - Filter hijack: text/xml - (no CLSID) - (no file)

in hijackthis nicht gelöscht?

mfg spotting