beim googlen kommen immer die gleichen Seiten - rootkit?

#1 Hallo zusammen.. habe mal wieder ein Problem.
Habe schon auf diverses probiert um das Problem zu lösen, jedoch
hat nix geklappt. (SuperAntispyware usw.)
Wenn ich beim googlen auf etwas klicke, kommt immer die gleiche Seite (verändert jedoch ständig den Namen); stehen vorallem Sexthemen drin.
Bei mehrenen versuchen jedoch klappt es dann plötzlich mit der Seite die ich eigendlich wollte. Beim stöbern in Foren habe ich zum Teil gelesen, dass es ein Rootkit seien kann, was ja nicht sehr toll wäre. Bin mir aber nicht sicher, ob es das ist.
Habe hier mal ein Hijackthis-Log; ich hoffe ihr findet das Problem.
Besten Dank im Voraus für eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 21:40:34, on 24.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
F:\Daten Reto\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.swissonline.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120238422617
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/webupload/ActiveX/PhotocolorUploader.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.148.2.106/activex/AxisCamControl.cab
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?325
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#2 spacee

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 "Peter F„ssler" - 07-01-24 22:09:01 Service Pack 2
ComboFix 07-01-24.2 - Running from: "C:\Dokumente und Einstellungen\Peter F„ssler\Desktop"

[color=red] ERROR !!! /wow section not completed[/color]

((((((((((((((((((((((((((((((( Files Created from 2006-12-24 to 2007-01-24 ))))))))))))))))))))))))))))))))))


2007-01-21 18:21 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-01-21 18:21 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-01-21 18:21 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-01-21 18:21 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-01-21 18:21 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-01-21 18:21 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-01-21 18:17 <DIR> d-------- C:\DOKUME~1\PETERF~1\Anwendungsdaten\PPLive
2007-01-21 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Synacast
2007-01-20 11:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater
2007-01-19 22:20 <DIR> d--h-c--- C:\WINDOWS\ie7
2007-01-19 13:18 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SUPERAntiSpyware.com
2007-01-14 14:32 <DIR> d-------- C:\DOKUME~1\PETERF~1\Anwendungsdaten\Lavasoft
2007-01-14 14:31 <DIR> d-------- C:\Programme\Lavasoft
2007-01-14 12:41 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2006-12-26 16:42 <DIR> d-------- C:\DOKUME~1\PETERF~1\OngameNetwork
2006-12-26 16:35 <DIR> d-------- C:\Programme\EuroPoker
2006-12-25 15:27 53,248 --a------ C:\WINDOWS\system32\ciaXPRegSvr20.dll
2006-12-25 15:27 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll
2006-12-25 15:27 40,960 --a------ C:\WINDOWS\system32\ciaSubClsSvr.dll
2006-12-25 15:27 212,992 --a------ C:\WINDOWS\system32\wodShellMenu.dll
2006-12-25 15:27 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2006-12-25 15:27 <DIR> d-------- C:\Programme\CleanUp XP
2006-12-25 14:34 <DIR> d-------- C:\Programme\CasinoEuro
2006-12-24 10:26 <DIR> d-------- C:\Transver


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-24 21:36 -------- d-------- C:\Programme\tkb e-banking
2007-01-21 17:54 -------- d-------- C:\DOKUME~1\PETERF~1\Anwendungsdaten\azureus
2007-01-20 17:41 -------- d-------- C:\Programme\google
2007-01-20 00:02 -------- d-------- C:\Programme\winamp
2007-01-19 23:04 -------- d-------- C:\Programme\hewlett-packard
2007-01-19 17:54 -------- d-------- C:\Programme\tuneup utilities 2007
2007-01-19 13:18 -------- d-------- C:\Programme\superantispyware
2007-01-13 16:48 -------- d-------- C:\Programme\azureus
2007-01-13 16:18 -------- d-------- C:\Programme\java
2006-12-12 19:31 -------- d-------- C:\Programme\readiris
2006-12-10 14:21 -------- d-------- C:\Programme\freepdf_xp
2006-12-09 14:11 -------- d-------- C:\Programme\emule.de
2006-12-08 16:49 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2006-12-08 16:49 -------- d-------- C:\DOKUME~1\PETERF~1\Anwendungsdaten\adobeum
2006-12-08 11:18 -------- d--h----- C:\Programme\installshield installation information
2006-12-07 11:28 -------- d-------- C:\Programme\windows media connect 2
2006-12-03 16:24 -------- d-------- C:\Programme\col10861
2006-12-03 01:20 -------- d-------- C:\Programme\gs
2006-12-02 23:25 -------- d-------- C:\Programme\hp
2006-11-25 17:17 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2006-11-25 13:03 -------- d-------- C:\Programme\itunes
2006-11-25 13:03 -------- d-------- C:\Programme\ipod
2006-11-25 13:01 -------- d-------- C:\Programme\quicktime
2006-11-24 21:06 -------- d-------- C:\Programme\yellownet
2006-11-23 16:45 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
2006-10-28 13:39 0 --a------ C:\DOKUME~1\PETERF~1\Anwendungsdaten\avsdvdplayer.m3u


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERANTISPYWARE.EXE"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"BDNewsAgent"="\"c:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"nwiz"="nwiz.exe /install"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"Steam"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QXLDeamon"="C:\\Programme\\ricardo.ch\\ricardoToolbar\\QXLDeamon.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^KVG.exe]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\KVG.exe"
"backup"="C:\\WINDOWS\\pss\\KVG.exeCommon Startup"
"location"="Common Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\KVG.exe"
"item"="KVG"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="kdcyw.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="sockspy.dll sockspy.dll sockspy.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{6AC3806F-8B39-4746-9C38-6B01CB7331FF}"="style 3"
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ file:///C:/DOKUME~1/PETERF~1/LOKALE~1/Temp/msohtml1/01/clip_image001.gif

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2608e340-9436-11da-8671-0002442e1487}]
Shell\AutoRun\command G:\LaunchU3.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bc1f4e10-e33f-11da-a54e-0002442e1487}]
Shell\AutoRun\command G:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1169295074.job

Completion time: 07-01-24 22:12:34

#4 spacee

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-----------------------------------------

ist fuer mich..............

Zitat

[-HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2]
[-HKEY_CLASSES_ROOT\CLSID\{210b4043-35ca-4aa0-8796-191f9663dfb3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{210b4043-35ca-4aa0-8796-191f9663dfb3}]


HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|altmannsberger

C:\WINDOWS\system32\winstyle3.dll
C:\WINDOWS\system32\winstyle2.dll
C:\WINDOWS\system32\vpxnk.dll
C:\WINDOWS\q32533640_disk.dll

O20 - Winlogon Notify: style2 - C:\WINDOWS\q32533640_disk.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\WINDOWS\system32

24.01.2007 22:34 13'764 wpa.dbl
24.01.2007 22:34 0 NvApps.xml
19.01.2007 21:42 6 reboot.txt
14.01.2007 14:12 1'484 ikhcore.log
13.01.2007 16:18 9'132 jupdate-1.5.0_10-b03.log
03.01.2007 00:19 10'980'776 MRT.exe
26.12.2006 12:36 400'152 FNTCACHE.DAT
07.12.2006 11:48 16'832 amcompat.tlb
07.12.2006 11:48 23'392 nscompat.tlb
03.12.2006 00:02 314'508 perfh009.dat
03.12.2006 00:02 40'836 perfc009.dat
03.12.2006 00:02 320'094 perfh007.dat
03.12.2006 00:02 49'174 perfc007.dat
03.12.2006 00:02 732'342 PerfStringBackup.INI
26.11.2006 20:45 153'288 AdobeFnt.lst
23.11.2006 16:45 24'072 uxtuneup.dll
17.11.2006 18:54 1'040'384 ieframe.dll.mui
17.11.2006 18:53 12'288 advpack.dll.mui
09.11.2006 15:07 127'078 javaws.exe
09.11.2006 15:07 49'265 jpicpl32.cpl
09.11.2006 13:28 53'346 javaw.exe
09.11.2006 13:28 49'248 java.exe
08.11.2006 06:06 679'424 inetcomm.dll
07.11.2006 21:03 458'752 msfeeds.dll
07.11.2006 21:03 1'162'240 urlmon.dll
07.11.2006 21:03 3'577'856 mshtml.dll
07.11.2006 21:03 475'648 mshtmled.dll
07.11.2006 21:03 27'136 jsproxy.dll
07.11.2006 21:03 413'696 vbscript.dll
07.11.2006 21:03 156'160 msls31.dll
07.11.2006 21:03 180'736 ieui.dll
07.11.2006 21:03 670'720 mstime.dll
07.11.2006 21:03 131'584 extmgr.dll
07.11.2006 21:03 231'424 webcheck.dll
07.11.2006 21:03 818'688 wininet.dll
07.11.2006 21:03 6'049'280 ieframe.dll
07.11.2006 21:03 191'488 iepeers.dll
07.11.2006 21:03 50'688 msfeedsbs.dll
07.11.2006 03:27 382'976 iedkcs32.dll
07.11.2006 03:27 229'376 ieaksie.dll
07.11.2006 03:26 152'064 ieakeng.dll
07.11.2006 03:26 71'680 admparse.dll
07.11.2006 03:26 55'296 iesetup.dll
07.11.2006 03:26 13'312 ieudinit.exe
07.11.2006 03:26 54'784 ie4uinit.exe
07.11.2006 03:26 43'008 iernonce.dll
07.11.2006 03:26 92'672 inseng.dll
07.11.2006 03:26 123'904 advpack.dll
07.11.2006 03:25 161'792 ieakui.dll
07.11.2006 03:24 56'483 ieuinit.inf
04.11.2006 14:14 1'245'696 msxml4.dll
03.11.2006 10:02 8'282'112 wmploc.dll
03.11.2006 09:56 99'840 wmpshell.dll
03.11.2006 09:55 275'968 wmerror.dll
03.11.2006 09:54 8'192 asferror.dll
02.11.2006 11:51 43'008 wpdshextres.dll
25.10.2006 19:15 65'536 QuickTimeVR.qtx
25.10.2006 19:15 49'152 QuickTime.qts
23.10.2006 16:34 474'624 shlwapi.dll
23.10.2006 16:34 1'497'600 shdocvw.dll
23.10.2006 16:34 1'056'256 danim.dll
23.10.2006 16:34 152'064 cdfview.dll
23.10.2006 16:34 1'022'976 browseui.dll
23.10.2006 12:43 270'336 xpsp3res.dll
20.10.2006 02:38 715'776 sxs.dll
18.10.2006 21:58 8'704 uwdf.exe
18.10.2006 21:58 8'704 wdfmgr.exe
18.10.2006 21:47 629'760 wpd_ci.dll
18.10.2006 21:47 656'896 WMVXENCD.dll
18.10.2006 21:47 2'603'008 WpdShext.dll
18.10.2006 21:47 133'632 WPDShServiceObj.dll
18.10.2006 21:47 2'450'944 SET53.tmp
18.10.2006 21:47 154'624 wpdmtp.dll
18.10.2006 21:47 767'488 WMVSENCD.dll
18.10.2006 21:47 1'382'912 WMVSDECD.dll
18.10.2006 21:47 35'840 wpdconns.dll
18.10.2006 21:47 63'488 wpdmtpus.dll
18.10.2006 21:47 1'574'912 WMVENCOD.dll
18.10.2006 21:47 4'096 wmsdmod.dll
18.10.2006 21:47 4'096 wmvdmoe2.dll
18.10.2006 21:47 4'096 wmvdmod.dll
18.10.2006 21:47 4'096 wmsdmoe2.dll
18.10.2006 21:47 1'543'680 WMVDECOD.dll
18.10.2006 21:47 603'648 WMSPDMOD.dll
18.10.2006 21:47 2'450'944 wmvcore.dll
18.10.2006 21:47 356'352 wpdsp.dll
18.10.2006 21:47 4'096 WMVADVE.DLL
18.10.2006 21:47 4'096 WMVADVD.dll
18.10.2006 21:47 1'329'152 WMSPDMOE.dll
18.10.2006 21:47 535'040 wmdrmsdk.dll
18.10.2006 21:47 937'984 WMNetMgr.dll
18.10.2006 21:47 10'834'432 wmp.dll
18.10.2006 21:47 348'672 wmdrmnet.dll
18.10.2006 21:47 242'688 wmpasf.dll
18.10.2006 21:47 314'880 wmpdxm.dll
18.10.2006 21:47 295'936 wmpeffects.dll
18.10.2006 21:47 204'288 wmpsrcwp.dll
18.10.2006 21:47 1'661'440 wmpencen.dll
18.10.2006 21:47 157'184 wmidx.dll
18.10.2006 21:47 130'048 wmpps.dll
18.10.2006 21:47 613'376 wmpmde.dll
18.10.2006 21:47 757'248 WMADMOD.dll
18.10.2006 21:47 101'888 PortableDeviceClassExtension.dll
18.10.2006 21:47 199'168 PortableDeviceWMDRM.dll
18.10.2006 21:47 1'117'696 WMADMOE.dll
18.10.2006 21:47 166'912 PortableDeviceTypes.dll
18.10.2006 21:47 33'792 wmdmlog.dll
18.10.2006 21:47 37'376 wmdmps.dll
18.10.2006 21:47 132'096 PortableDeviceWiaCompat.dll
18.10.2006 21:47 222'208 wmasf.dll
18.10.2006 21:47 211'456 qasf.dll
18.10.2006 21:47 222'208 SET47.tmp
18.10.2006 21:47 4'096 wdfapi.dll
18.10.2006 21:47 284'160 PortableDeviceApi.dll
18.10.2006 21:47 429'056 wmdrmdev.dll
18.10.2006 21:47 175'616 mspmsp.dll
18.10.2006 21:47 414'208 msscp.dll
18.10.2006 21:47 179'712 msnetobj.dll
18.10.2006 21:47 27'136 mspmsnsv.dll
18.10.2006 21:47 321'536 mswmdm.dll
18.10.2006 21:47 4'096 MP4SDMOD.dll
18.10.2006 21:47 317'440 MP4SDECD.dll
18.10.2006 21:47 4'096 MP43DMOD.dll
18.10.2006 21:47 11'264 LAPRXY.dll
18.10.2006 21:47 259'072 MPG4DECD.dll
18.10.2006 21:47 259'072 MP43DECD.dll
18.10.2006 21:47 4'096 MPG4DMOD.dll
18.10.2006 21:47 212'992 MFPLAT.dll
18.10.2006 21:47 229'376 cewmdm.dll
18.10.2006 21:47 991'744 drmv2clt.dll
18.10.2006 21:47 542'720 blackbox.dll
18.10.2006 21:47 276'992 SET60.tmp
18.10.2006 20:05 232'448 l3codecp.acm
18.10.2006 20:03 100'864 logagent.exe
18.10.2006 20:00 249'856 drmupgds.exe
18.10.2006 20:00 17'408 wpdshextautoplay.exe
17.10.2006 12:06 443'904 html.iec
17.10.2006 12:06 78'336 ieencode.dll
17.10.2006 12:05 206'336 WinFXDocObj.exe
17.10.2006 12:05 1'817'088 inetcpl.cpl
17.10.2006 12:05 105'984 url.dll
17.10.2006 12:05 40'960 licmgr10.dll
17.10.2006 12:05 192'000 msrating.dll
17.10.2006 12:04 101'376 occache.dll
17.10.2006 12:03 17'408 corpol.dll
17.10.2006 12:00 491'520 jscript.dll
17.10.2006 11:58 12'288 msfeedssync.exe
17.10.2006 11:58 61'952 icardie.dll
17.10.2006 11:58 44'544 pngfilt.dll
17.10.2006 11:58 346'624 dxtmsft.dll
17.10.2006 11:57 36'352 imgutil.dll
17.10.2006 11:57 214'528 dxtrans.dll
17.10.2006 11:57 266'752 iertutil.dll
17.10.2006 11:56 45'568 mshta.exe
17.10.2006 11:55 66'560 tdc.ocx
17.10.2006 11:28 48'128 mshtmler.dll
17.10.2006 11:27 380'928 ieapfltr.dll
17.10.2006 11:19 1'383'424 mshtml.tlb
13.10.2006 13:35 146'432 nwprovau.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\DOKUME~1\PETERF~1\LOKALE~1\Temp

24.01.2007 22:34 16'384 ~DF9092.tmp
04.10.2006 09:23 668 datFind.bat
17.02.2006 15:55 143'360 SSUPDATE.EXE
3 Datei(en) 160'412 Bytes
0 Verzeichnis(se), 5'256'531'968 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\WINDOWS

24.01.2007 22:34 0 0.log
24.01.2007 22:34 1'543'688 WindowsUpdate.log
24.01.2007 22:34 159 wiadebug.log
24.01.2007 22:34 50 wiaservc.log
24.01.2007 22:33 2'048 bootstat.dat
24.01.2007 22:33 32'576 SchedLgU.Txt
24.01.2007 21:31 1'867 win.ini
24.01.2007 15:37 15'508'480 outlook.pst
21.01.2007 21:02 10'144 KB917953.log
21.01.2007 21:02 6'983 iis6.log
21.01.2007 21:02 14'351 comsetup.log
21.01.2007 21:02 8'714 ntdtcsetup.log
21.01.2007 21:02 2'394 ocmsn.log
21.01.2007 21:02 1'374 imsins.log
21.01.2007 21:02 16'513 tsoc.log
21.01.2007 21:02 10'196 KB901190.log
21.01.2007 21:02 20'412 ocgen.log
21.01.2007 21:02 2'163 msgsocm.log
21.01.2007 21:02 43'277 FaxSetup.log
21.01.2007 21:02 222'033 setupapi.log
21.01.2007 16:08 6'384 wmsetup.log
20.01.2007 13:38 17'073 KB929969.log
20.01.2007 13:11 19'554 hpoins01.dat
19.01.2007 23:12 420 setupact.log
19.01.2007 22:40 6'264 spupdsvc.log
19.01.2007 22:27 15'660 ie7_main.log
19.01.2007 22:27 1'374 imsins.BAK
19.01.2007 22:27 46'943 ie7.log
19.01.2007 22:25 20'845 updspapi.log
19.01.2007 22:19 7'288 IDNMitigationAPIs.log
19.01.2007 22:19 7'319 NLSDownlevelMapping.log
19.01.2007 22:18 4'803 KB915865.log
19.01.2007 18:04 1'125 winamp.ini
19.01.2007 17:52 202 NeroDigital.ini
14.01.2007 12:56 1'867 win.tmp
25.12.2006 11:58 7'680 Thumbs.db
25.12.2006 11:49 70 C
24.12.2006 12:20 70 D
16.12.2006 18:34 17'700 KB925454.log
16.12.2006 18:32 9'432 KB925398.log
16.12.2006 18:31 11'205 KB926255.log
16.12.2006 18:30 11'106 KB923694.log
08.12.2006 11:19 150 pagesuit.ini
07.12.2006 11:23 316'640 WMSysPr9.prx
03.12.2006 01:08 43 gswin32.ini
01.09.2006 16:39 71 wininit.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\WINDOWS\Temp

24.01.2007 22:35 409 WGANotify.settings
24.01.2007 22:34 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 5'256'536'064 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.12.2006 17:35 88'136 HPGetDownloadManager.ocx
27.07.2006 12:52 367 LegitCheckControl.inf
21.07.2006 12:30 1'703 GuidedSolutions.inf
21.07.2006 12:30 221'184 HPCommunication.dll
08.04.2006 23:59 274'432 InternetUtil2.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7031-3697

Verzeichnis von C:\

24.01.2007 22:38 0 sys.txt
24.01.2007 22:37 1'948 down.txt
24.01.2007 22:37 334 tmp.txt
24.01.2007 22:37 7'236 system.txt
24.01.2007 22:37 394 systemtemp.txt
24.01.2007 22:36 113'230 system32.txt
24.01.2007 22:33 535'969'792 hiberfil.sys
24.01.2007 22:33 805'306'368 pagefile.sys
24.01.2007 22:12 12'490 ComboFix.txt
21.01.2007 17:52 488 hpfr5550.xml
25.12.2006 11:58 4'608 Thumbs.db
07.12.2006 23:19 1'124'862 Scan0001.tif
03.12.2006 20:06 4'757 hpothb07.tif
03.12.2006 20:06 2'555 hpothb07.dat
01.12.2006 18:53 819 Techno_Girl_filmt_sich_beim_fingern.wmv.MP4
13.05.2006 16:22 3'267 smitfiles.txt
13.05.2006 12:19 211 boot.ini


Muss früh auf morgen :-) Geh mal in die Hajia :-)
Danke nochmals...bin morgen Abend wieder hier...
Gruss

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|altmannsberger

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier die scanreporte von option 1 und 2
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier die Scanreporte von smitfraud.fix:

Option 1

SmitFraudFix v2.137

Scan done at 15:03:56.89, 28.01.2007
Run from F:\Daten Reto\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\winstyle3.dll FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter F„ssler


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter F„ssler\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PETERF~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOKUME~1/PETERF~1/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"
"SubscribedURL"="file:///C:/DOKUME~1/PETERF~1/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"
"FriendlyName"=""


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" sockspy.dll sockspy.dll sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdcyw.exe"

kdcyw.exe detected !


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Option 2

SmitFraudFix v2.137

Scan done at 15:17:14.44, 28.01.2007
Run from F:\Daten Reto\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\winstyle3.dll Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdcyw.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kdcyw.exe Deleted

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» End

#8 spacee

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#9 SDFix: Version 1.63

30.01.2007 - 18:35:58.15

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\NeroCheck.exe - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Valve\\Steam\\SteamApps\\space739\\counter-strike source\\hl2.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\space739\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*:Enabled:eMule"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Valve\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe:*:Enabled:RedOrchestra"
"F:\\Programme\\PPLive\\PPLive.exe"="F:\\Programme\\PPLive\\PPLive.exe:*:EnabledPLive"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\Dokumente und Einstellungen\Peter F„ssler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\reto_86@hotmail.com\Sharing Folders\evelyn_keller@hotmail.com\Thumbs.db
C:\Dokumente und Einstellungen\Peter F„ssler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\reto_86@hotmail.com\Sharing Folders\evelyn_keller@hotmail.com\Bilder Herbst\Thumbs.db
C:\Dokumente und Einstellungen\Peter F„ssler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\reto_86@hotmail.com\Sharing Folders\ruemlijunky@hotmail.com\Favoriten\Desktop.ini
C:\Dokumente und Einstellungen\Peter F„ssler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\reto_86@hotmail.com\Sharing Folders\sarah.e_tg@hotmail.com\Thumbs.db
C:\Dokumente und Einstellungen\Peter F„ssler\Netzwerkumgebung\ftp.swissworld.com\Desktop.ini
C:\Programme\MSN Messenger\300.smileys.MSN.6-7.[WwW.LiMiTeDiVx.CoM][susyV.Boudevin]\Thumbs.db
C:\WINDOWS\system32\avisynth.dll
C:\WINDOWS\system32\AVSredirect.dll
C:\WINDOWS\system32\cygwin1.dll
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\Smab.dll
C:\WINDOWS\system32\yv12vfw.dll
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\x2.64.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\x.264.exe
C:\hiberfil.sys
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\557bbe94445917317d861670e6640e61\BIT11.tmp

Finished

#10 scanne, stelle nach dem scan alles auf remove und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ««
scanne, stelle nach dem scan alles auf remove und poste den report
http://virus-protect.org/counterspy.html

tritt das Prob noch auf ?

Zitat

googlen auf etwas klicke, kommt immer die gleiche Seite (verändert jedoch ständig den Namen)

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Das google dings kommt nicht mehr... jedoch hats noch einiges gefunden :-)

Spyware Scan Details
Start Date: 01.02.2007 21:15:22
End Date: 01.02.2007 22:34:20
Total Time: 1 hrs 18 mins 58 secs

Detected spyware

AntiLeech Plugin Adware (General) more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\AntiLeech.ALIE.1 Anti-Leech Plug-in
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\ProgID AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\VersionIndependentProgID AntiLeech.ALIE
HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7} Anti-Leech Plug-in
HKEY_CLASSES_ROOT\AntiLeech.ALIE
HKEY_CLASSES_ROOT\AntiLeech.ALIE\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_CLASSES_ROOT\AntiLeech.ALIE\CurVer AntiLeech.ALIE.1
HKEY_CLASSES_ROOT\AntiLeech.ALIE Anti-Leech Plug-in


Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1724006CEA0B Name F*** u
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1724006CEA0B Category 4
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1724006CEA0B Flags 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1724006CEA0B Language 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1724006CEA0B NeedsLoading 0


edit