Falsche links aus google bzw. keine Weiterleitung |
||
---|---|---|
#0
| ||
06.02.2007, 20:26
Member
Beiträge: 12 |
||
|
||
07.02.2007, 14:16
Ehrenmitglied
Beiträge: 29434 |
#2
netter_guido
arbeite das ab und poste alle logs http://board.protecus.de/t23187.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 12:06
Member
Themenstarter Beiträge: 12 |
#3
Hallo Sabina,
vielen Dank. Sorry das es etwas gedauert hat aber jetzt hab ich Wochenende und eine Komplettsicherung ist vorsichtshalber auch gemacht. 1. Erstellen eines Hijackthis-Logfiles (komplett): Logfile of HijackThis v1.99.1 Scan saved at 12:04:01, on 09.02.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Atguard\iamserv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\system32\SerExt.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe C:\PROGRA~1\OPTICA~1\4DMAIN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\THOR1\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {9D6672D5-6FD1-4579-AEF2-047961792B52} - C:\WINNT\system32\ocmanahe.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe" O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe" O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49E37022-E1F5-4B24-A476-1CB7CBBD5BD9}: NameServer = 192.168.123.252,192.168.123.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{567E360A-8709-437B-B149-95FD7C1AA9A0}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{D83BA9E9-62E3-4E6E-9BFC-52F5CD0811EB}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe Mache jetzt mit 2. weiter Gruß Guido Dieser Beitrag wurde am 09.02.2007 um 12:22 Uhr von netter_guido editiert.
|
|
|
||
09.02.2007, 12:09
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.02.2007, 12:21
Member
Themenstarter Beiträge: 12 |
#5
HuHu Sabina,
2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html http://www.stevengould.org/downloads/cleanup/CleanUp452.exe und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) Kann den Punkt Delete Prefetch files nicht auswählen. Ist gesperrt Was nun? |
|
|
||
09.02.2007, 12:30
Ehrenmitglied
Beiträge: 29434 |
#6
kein Problem, hake alles andere an + starte den rechner neu
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 12:47
Member
Themenstarter Beiträge: 12 |
#7
3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html http://download.bleepingcomputer.com/sUBs/combofix.exe "THOR" - Fr 09.02.2007 12:43:12 Service Pack 4 ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\THOR1\Eigene Dateien\Trojaner" ((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 )))))))))))))))))))))))))))))))))) 2007-02-09 12:40 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_534.dat 2007-02-06 17:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP 2007-02-06 17:10 75,264 --a------ C:\WINNT\system32\unacev2.dll 2007-02-06 17:10 153,088 --a------ C:\WINNT\system32\UNRAR3.dll 2007-02-06 17:10 <DIR> d-------- C:\Programme\Trojan Remover 2007-02-06 17:10 <DIR> d-------- C:\DOKUME~1\THOR1\Anwendungsdaten\Simply Super Software 2007-02-05 20:22 909,312 --a------ C:\WINNT\system32\vorbisenc.dll 2007-02-05 20:22 36,864 --a------ C:\WINNT\system32\ogg.dll 2007-02-05 20:22 182,784 --a------ C:\WINNT\system32\DGVorbis.dll 2007-02-05 20:22 175,104 --a------ C:\WINNT\system32\lame_enc.dll 2007-02-05 20:22 118,784 --a------ C:\WINNT\system32\MP3DEE.DLL 2007-02-05 20:22 1,060,864 --a------ C:\WINNT\system32\vorbis.dll 2007-02-05 20:22 <DIR> d-------- C:\Programme\s25atonce 2007-02-05 18:08 <DIR> d-------- C:\Programme\Enigma Software Group 2007-02-05 15:48 454,656 --a------ C:\WINNT\system32\mmSQL.dll 2007-02-05 15:03 <DIR> d-------- C:\Programme\Mobile Master 2007-02-04 18:46 <DIR> d-------- C:\Programme\Google 2007-02-04 18:46 <DIR> d-------- C:\DOKUME~1\THOR1\Anwendungsdaten\Google 2007-02-04 12:06 8,192 --a------ C:\DOKUME~1\ALLUSE~1\ntuser.dat 2007-01-29 14:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SecTaskMan 2007-01-12 21:59 258,048 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT 2007-01-12 21:59 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten 2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen 2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung 2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen 2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung 2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Startmen 2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Eigene Dateien 2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\Real 2007-01-12 08:54 16,384 --a------ C:\WINNT\system32\Perflib_Perfdata_438.dat (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-28 16:10 -------- d-------- C:\Programme\optical mousemate 2006-12-28 15:19 -------- d-------- C:\Programme\CCleaner 2006-12-10 14:18 16384 --a------ C:\WINNT\system32\perflib_perfdata_538.dat 2006-11-23 12:36 0 --a------ C:\WINNT\system32\sbrc.dat 2006-11-23 12:36 0 --a------ C:\WINNT\system32\sbfc.dat 2006-11-15 17:00 876544 --a------ C:\WINNT\system32\sport.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "C-Media Mixer"="Mixer.exe /startup" "Synchronization Manager"="mobsync.exe /logon" "iamapp"="C:\\PROGRA~1\\Atguard\\iamapp.exe" "REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN" "SerExt"="SerExt.exe /plug" "CaAvTray"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVTray.exe\"" "CAVRID"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVRID.exe\"" "WheelMouse"="C:\\PROGRA~1\\OPTICA~1\\4DMAIN.EXE" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "TrojanScanner"="C:\\Programme\\Trojan Remover\\Trjscan.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "internat.exe"="internat.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] rpcss REG_MULTI_SZ RpcSs\0\0 wugroup REG_MULTI_SZ wuauserv\0\0 BITSgroup REG_MULTI_SZ BITS\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* WmdmPmSN Contents of the 'Scheduled Tasks' folder C:\WINNT\tasks\159D99BD971AAB85.job C:\WINNT\tasks\Drive Image-Backup.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: Fri 2007-02-09 12:44:42 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) Frage: Warum nur 3 Monate? Ich habe das problem evtl. schon länger. Macht das was? Und habe 2 neue Dateien in C:\ hiberfil.sys und pagefile.sys. Was ist das? Kann man die löschen? Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT\system32 09.02.2007 12:40 16.384 Perflib_Perfdata_534.dat 08.02.2007 22:59 9.007 PQ_DEBUG.TXT 08.02.2007 22:59 0 pqtmp.fil 12.01.2007 08:55 16.384 Perflib_Perfdata_438.dat 02.01.2007 15:19 10.980.776 MRT.exe 10.12.2006 14:18 16.384 Perflib_Perfdata_538.dat 29.11.2006 16:17 1.098 PQ_BATCH.PQB 23.11.2006 12:36 0 SBRC.dat 23.11.2006 12:36 0 SBFC.dat 15.11.2006 17:00 876.544 SPort.dll 11.11.2006 21:52 454.656 mmSQL.dll 09.11.2006 11:00 107.808 FNTCACHE.DAT Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\DOKUME~1\THOR1\LOKALE~1\Temp Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT 09.02.2007 12:37 32.562 SchedLgU.Txt 05.02.2007 17:32 8.869 KB929969-IE6SP1-20061220.120000.log 05.02.2007 17:31 16.965 KB925454-IE6SP1-20061116.120000.log 05.02.2007 17:31 4.521 updspapi.log 05.02.2007 17:30 7.827 comsetup.log 05.02.2007 17:30 6.263 KB922760-IE6SP1-20061018.120000.log 05.02.2007 17:30 21.102 iis5.log 05.02.2007 17:30 1.392 imsins.log 05.02.2007 17:30 642 ockodak.log 05.02.2007 17:30 8.166 ocgen.log 05.02.2007 17:27 1.410 imsins.BAK 05.02.2007 17:24 0 setuperr.log 05.02.2007 17:24 0 setupact.log 05.02.2007 16:34 458 SCROLL.INI 05.02.2007 15:09 225 HARDCOPY.INI 02.02.2007 14:58 1.460 ODBC.INI 01.02.2007 22:10 54.156 QTFont.qfn 31.01.2007 20:52 7.284 wmsetup.log 31.01.2007 14:06 101 CMMIXER.INI 30.01.2007 07:18 2.722.874 ShellIconCache 12.01.2007 21:59 345 OEWABLog.txt 28.12.2006 16:10 27.523 setupapi.log 30.11.2006 18:51 63 mdm.ini 11.11.2006 11:50 1.409 QTFont.for Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT\temp Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT\Downloaded Program Files 25.10.2006 12:18 385.536 Housecall_ActiveX.dll Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\ 09.02.2007 12:51 0 sys.txt 09.02.2007 12:50 1.046 down.txt 09.02.2007 12:50 107 tmp.txt 09.02.2007 12:50 6.570 system.txt 09.02.2007 12:50 125 systemtemp.txt 09.02.2007 12:48 96.956 system32.txt 09.02.2007 12:38 536.395.776 hiberfil.sys 09.02.2007 12:38 805.306.368 pagefile.sys 08.02.2007 06:12 347.685 hoTrace.log 26.12.2006 12:02 6.931 voxFcoldrv.log 23.11.2006 17:40 344 SBCSTray.log Dieser Beitrag wurde am 09.02.2007 um 12:58 Uhr von netter_guido editiert.
|
|
|
||
09.02.2007, 12:57
Ehrenmitglied
Beiträge: 29434 |
#8
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {9D6672D5-6FD1-4579-AEF2-047961792B52} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) ocmanahe in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ----------- «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 13:37
Member
Themenstarter Beiträge: 12 |
#9
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 09.02.2007 13:36:15 for strings: ; '{9d6672d5-6fd1-4579-aef2-047961792b52}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS Zitat registry keys to delete:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52}] ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 09.02.2007 13:32:52 for strings: ; 'ocmanahe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}\InprocServer32] @="C:\\WINNT\\system32\\ocmanahe.dll" ; End Of The Log... und jetzt noch die listen.bat: Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 06.02.2007 17:11 <DIR> . 06.02.2007 17:11 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 17.489.461.248 Bytes frei Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT\Downloaded Program Files 21.08.2003 15:04 <DIR> . 21.08.2003 15:04 <DIR> .. 05.11.1998 16:11 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 03.03.2003 14:06 524.404 RdxIE.dll 05.02.2004 12:49 5.295.650 QuickTimeInstallCache.qdat 27.10.2003 11:35 510.552 MSNChat45.ocx 24.10.2003 14:01 278 MsnChat45.inf 24.03.2005 22:40 36.864 MsnChat40de-de.dll 30.06.2003 22:41 1.689 WMV9VCM.inf 22.06.2006 11:41 5.032 swflash.inf 20.01.2005 14:53 171 ampx.inf 15.09.2004 10:20 740 jinstall-1_5_0.inf 25.10.2006 12:18 385.536 Housecall_ActiveX.dll 14.10.2006 00:16 723 hcImpl.inf 13 Datei(en) 6.763.498 Bytes 2 Verzeichnis(se), 17.489.461.248 Bytes frei Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\WINNT\Temp 09.02.2007 12:44 <DIR> . 09.02.2007 12:44 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 17.489.461.248 Bytes frei Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\ Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\Programme 21.08.2003 14:51 <DIR> . 21.08.2003 14:51 <DIR> .. 21.08.2003 14:51 <DIR> Gemeinsame Dateien 21.08.2003 15:03 <DIR> Windows NT 21.08.2003 15:03 <DIR> Zubeh”r 21.11.2005 16:28 <DIR> Audacity 18.02.2006 15:47 <DIR> REGSHAVE 21.08.2003 15:04 <DIR> Internet Explorer 21.08.2003 15:04 <DIR> Outlook Express 21.08.2003 15:04 <DIR> NetMeeting 21.08.2003 15:04 <DIR> Windows Media Player 21.08.2003 15:05 <DIR> microsoft frontpage 21.08.2003 15:40 <DIR> Intel 21.08.2003 15:50 <DIR> ATI Technologies 17.09.2006 10:02 <DIR> CA 30.09.2005 21:59 <DIR> Siemens 30.11.2005 19:20 <DIR> Vi-Soft 21.08.2003 17:17 <DIR> Microsoft Office 28.12.2006 15:14 <DIR> Browser MOUSE 22.08.2003 11:18 <DIR> PCWELT 12.04.2005 17:52 <DIR> IRC 02.12.2005 11:36 <DIR> Labtec 28.12.2005 19:54 <DIR> Phone Ball 22.08.2003 12:08 <DIR> Microsoft Office Icons 22.08.2003 12:45 <DIR> QuickDic 4 22.08.2003 16:56 <DIR> RegCleaner 05.02.2007 15:03 <DIR> Mobile Master 04.08.2006 20:44 <DIR> Serials 2000 7.1 Plus 18.11.2006 10:47 <DIR> Java 09.08.2006 17:02 <DIR> Gigaset DECT 30.06.2006 11:22 <DIR> WinRAR 21.11.2005 13:13 <DIR> Illustrate 28.12.2006 16:10 <DIR> Optical Mousemate 04.02.2007 18:46 <DIR> Google 27.08.2003 20:03 <DIR> Lavasoft 23.11.2003 17:11 990.207 Advanced Office 2000 Password Recovery Pro v1.10.zip 23.11.2003 17:10 592 Advanced Office 2000 Password Recovery Pro v1.10 Serial.zip 29.11.2003 16:18 <DIR> PowerQuest 18.02.2006 15:47 <DIR> FinePixViewer 09.12.2003 08:00 <DIR> Ahead 12.07.2006 11:20 <DIR> MobileMusic 05.01.2004 15:12 <DIR> Real 28.12.2006 15:19 <DIR> CCleaner 05.02.2004 12:48 <DIR> QuickTime 28.04.2004 13:55 <DIR> LEXWARE 12.07.2006 10:02 <DIR> Coding Workshop Ringtone Converter 30.11.2006 18:51 <DIR> Microsoft Visual Studio 05.02.2007 18:08 <DIR> Enigma Software Group 19.08.2006 22:27 <DIR> YOU DON'T KNOW JACK 2 23.11.2006 12:28 <DIR> Downloaded Installations 05.02.2007 20:22 <DIR> s25atonce 13.06.2004 10:50 <DIR> Messenger 13.06.2004 10:50 <DIR> MSN Messenger 09.02.2007 12:07 <DIR> CleanUp! 13.06.2004 14:37 <DIR> AVM_update 13.06.2004 14:45 <DIR> FRITZ! 13.06.2004 14:57 <DIR> FRITZ!DSL 06.02.2007 17:10 <DIR> Trojan Remover 13.06.2004 17:37 <DIR> CASIO 13.06.2004 17:38 <DIR> Enterprise Harmony2002 17.06.2004 20:54 <DIR> Webcam 23.04.2005 15:11 <DIR> Adobe 03.05.2005 17:03 <DIR> WinZip 17.05.2005 12:57 <DIR> Atguard 21.05.2005 01:43 <DIR> IrfanView 15.06.2005 04:29 <DIR> Mozilla Firefox 18.06.2005 08:25 <DIR> Digital 12.07.2005 07:15 <DIR> MSN Apps 2 Datei(en) 990.799 Bytes 66 Verzeichnis(se), 17.489.461.248 Bytes frei Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 21.08.2003 14:51 <DIR> . 21.08.2003 14:51 <DIR> .. 21.08.2003 14:57 <DIR> Microsoft 05.02.2004 12:47 <DIR> QuickTime 13.06.2004 14:46 <DIR> ISDNWatch 23.04.2005 15:15 <DIR> Adobe 23.07.2005 12:53 <DIR> moreMSG 04.12.2005 07:49 <DIR> Trymedia 21.11.2006 16:13 <DIR> Spybot - Search & Destroy 23.11.2006 17:30 1.128 Svclog.log 19.12.2006 13:22 <DIR> CA 29.01.2007 14:49 <DIR> SecTaskMan 06.02.2007 17:11 <DIR> TEMP 1 Datei(en) 1.128 Bytes 12 Verzeichnis(se), 17.489.461.248 Bytes frei Datentr„ger in Laufwerk C: ist C THOR Datentr„gernummer: 4365-CD21 Verzeichnis von C:\Programme\Gemeinsame Dateien 21.08.2003 14:51 <DIR> . 21.08.2003 14:51 <DIR> .. 21.08.2003 14:51 <DIR> Microsoft Shared 21.08.2003 14:51 <DIR> ODBC 21.08.2003 15:04 <DIR> System 21.08.2003 15:04 <DIR> Dienste 21.08.2003 15:40 <DIR> InstallShield 21.08.2003 17:19 <DIR> Designer 22.08.2003 18:28 <DIR> Adobe 05.01.2004 15:12 <DIR> Real 05.01.2004 15:12 <DIR> xing shared 28.04.2004 13:56 <DIR> Lexware 13.06.2004 14:46 <DIR> AVM 13.06.2004 17:38 <DIR> XCPCSync 03.07.2004 14:30 <DIR> Adaptec Shared 13.07.2005 09:33 <DIR> Nokia 15.07.2005 08:57 <DIR> LogoManager 03.10.2006 07:50 <DIR> Siemens AG Shared 17.11.2006 20:43 <DIR> Nullsoft 17.11.2006 20:43 <DIR> NSV 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 17.489.461.248 Bytes frei |
|
|
||
09.02.2007, 14:10
Ehrenmitglied
Beiträge: 29434 |
#10
poste dieses log
http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 14:18
Member
Themenstarter Beiträge: 12 |
#11
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.
If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195 Internet Explorer Version: 6.0.2800.1106 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... UPX! 29.07.2004 01:19:46 175104 C:\WINNT\SYSTEM32\lame_enc.dll Umonitor 19.06.2003 12:05:04 549648 C:\WINNT\SYSTEM32\RASDLG.DLL winsync 10.12.1999 12:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu PECompact2 02.01.2007 15:19:46 10980776 C:\WINNT\SYSTEM32\MRT.exe aspack 02.01.2007 15:19:46 10980776 C:\WINNT\SYSTEM32\MRT.exe UPX! 28.01.2002 10:29:54 29184 C:\WINNT\SYSTEM32\kwab.dll PEC2 08.02.2005 11:19:00 203264 C:\WINNT\SYSTEM32\tssOfficeMenu1c.ocx PECompact2 08.02.2005 11:19:00 203264 C:\WINNT\SYSTEM32\tssOfficeMenu1c.ocx UPX! 19.07.2002 11:08:14 182784 C:\WINNT\SYSTEM32\DGVorbis.dll Checking %System%\Drivers folder and sub-folders... Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 30.01.2007 07:18:26 H 2722874 C:\WINNT\ShellIconCache 01.02.2007 22:10:56 H 54156 C:\WINNT\QTFont.qfn 09.02.2007 13:23:32 H 20480 C:\WINNT\system32\config\software.LOG 09.02.2007 12:44:52 H 1024 C:\WINNT\system32\config\default.LOG 09.02.2007 12:39:08 H 1024 C:\WINNT\system32\config\SECURITY.LOG 09.02.2007 12:39:34 H 1024 C:\WINNT\system32\config\SAM.LOG 09.02.2007 12:38:34 H 6 C:\WINNT\Tasks\SA.DAT 09.02.2007 14:00:02 H 262 C:\WINNT\Tasks\159D99BD971AAB85.job 09.02.2007 12:38:42 S 64 C:\WINNT\CSC\00000001 12.01.2007 21:50:14 S 64 C:\WINNT\CSC\csc1.tmp 28.01.2007 16:57:24 S 64 C:\WINNT\CSC\00000002 Checking for CPL files... Microsoft Corporation 19.06.2003 12:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl Microsoft Corporation 19.06.2003 12:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL Microsoft Corporation 10.12.1999 12:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl Microsoft Corporation 10.12.1999 12:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl Microsoft Corporation 10.12.1999 12:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl Microsoft Corporation 10.12.1999 12:00:00 122640 C:\WINNT\SYSTEM32\main.cpl Microsoft Corporation 10.12.1999 12:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl WRQ, Inc. 12.10.1999 15:49:48 248832 C:\WINNT\SYSTEM32\iamcpl.cpl Microsoft Corporation 10.12.1999 12:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl Microsoft Corporation 15.05.2001 13:43:08 41232 C:\WINNT\SYSTEM32\odbccp32.cpl Microsoft Corporation 19.06.2003 12:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl Microsoft Corporation 19.06.2003 12:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl Microsoft Corporation 19.06.2003 12:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL Microsoft Corporation 10.12.1999 12:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl Microsoft Corporation 10.12.1999 12:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl Apple Computer, Inc. 23.12.2003 17:42:58 324608 C:\WINNT\SYSTEM32\QuickTime.cpl Microsoft Corporation 10.12.1999 13:00:00 68880 C:\WINNT\SYSTEM32\access.cpl Microsoft Corporation 19.06.2003 12:05:04 54784 C:\WINNT\SYSTEM32\wuaucpl.cpl Microsoft Corporation 30.10.2001 08:10:00 326144 C:\WINNT\SYSTEM32\joy.cpl Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 15.05.2001 13:43:08 41232 C:\WINNT\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 19.06.2003 12:05:04 54784 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl IBM Corporation 07.10.1999 01:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 09.11.2006 11:06:50 1470 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... 23.11.2006 17:30:50 1128 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Svclog.log Checking files in %USERPROFILE%\Startup folder... 09.11.2006 11:06:52 481 C:\Dokumente und Einstellungen\THOR1\Startmenü\Programme\Autostart\FRITZ!web DSL.lnk Checking files in %USERPROFILE%\Application Data folder... »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\CA_AntiVirus {1CE2AA40-1317-11D3-9922-00104B0AD431} = C:\WINNT\avshlext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Trojan Remover {52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR = HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\CA_AntiVirus {1CE2AA40-1317-11D3-9922-00104B0AD431} = C:\WINNT\avshlext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Trojan Remover {52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\shell32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = C:\WINNT\System32\docprop2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984} = %SystemRoot%\system32\faxshell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1} = C:\WINNT\System32\docprop2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{FED7043D-346A-414D-ACD7-550D052499A7} = C:\Programme\Illustrate\dBpowerAMP\dBShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52} = C:\WINNT\system32\ocmanahe.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910} AcroIEToolbarHelper Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{182EC0BE-5110-49C8-A062-BEB1D02A220B} Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINNT\System32\msdxm.ocx {47833539-D0C5-4125-9FA8-0819E2EAAC93} = Adobe PDF : C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} Media Band = %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E} Favorites Band = %SystemRoot%\system32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer-Band = %SystemRoot%\system32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll {47833539-D0C5-4125-9FA8-0819E2EAAC93} = Adobe PDF : C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] C-Media Mixer Mixer.exe /startup Synchronization Manager mobsync.exe /logon iamapp C:\PROGRA~1\Atguard\iamapp.exe REGSHAVE C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN SerExt SerExt.exe /plug CaAvTray "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe" CAVRID "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe" WheelMouse C:\PROGRA~1\OPTICA~1\4DMAIN.EXE TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot TrojanScanner C:\Programme\Trojan Remover\Trjscan.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 149 CDRAutoRun 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINNT\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif = wzcdlg.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 09.02.2007 14:17:21 |
|
|
||
09.02.2007, 14:26
Ehrenmitglied
Beiträge: 29434 |
#12
netter_guido
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT4«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne und poste den scanreport http://virus-protect.org/artikel/tools/fixwareout.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 14:50
Member
Themenstarter Beiträge: 12 |
#13
Hat nach dem avenger so eine fehlermeldung gebracht beim booten "Bitte Laufwek einlegen ..." Eine HD. macht das was? (log ist durch Reboot von fixwareout leider weg). Nochmal laufen lassen?
Fixwareout Last edited 1/30/2007 Post this report in the forums please ... Prerun check »»»»» HKLM run and Winlogon System values »»»»» System restarted Reg Entries that were deleted ... Random Runs removed from HKLM ... »»»»» Misc files. »»»»» Checking for older varients. »»»»» Postrun check »»»»» HKLM run »»»»» Winlogon System value "System"="" »»»»» PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION. This WILL/CAN also list Legit Files, Submit them at Virustotal Search five digit cs, dm kd and jb files. »»»»» »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C-Media Mixer"="Mixer.exe /startup" "Synchronization Manager"="mobsync.exe /logon" "iamapp"="C:\\PROGRA~1\\Atguard\\iamapp.exe" "REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN" "SerExt"="SerExt.exe /plug" "CaAvTray"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVTray.exe\"" "CAVRID"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVRID.exe\"" "WheelMouse"="C:\\PROGRA~1\\OPTICA~1\\4DMAIN.EXE" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "TrojanScanner"="C:\\Programme\\Trojan Remover\\Trjscan.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Hosts file was reset, If you use a custom hosts file please replace it |
|
|
||
09.02.2007, 16:51
Ehrenmitglied
Beiträge: 29434 |
#14
poste das neue Log vom HijackThis und berichte, ob die seiten noch umgeleitet werden
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 18:35
Member
Themenstarter Beiträge: 12 |
#15
Leider werde ich immer noch umgeleitet *heul*
Meine Maus wurde auch deinstalliert. Ist das normal? Logfile of HijackThis v1.99.1 Scan saved at 18:33:41, on 09.02.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Atguard\iamserv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\system32\SerExt.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\THOR1\Eigene Dateien\Trojaner\HijackThis_1_99_1.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {FAC62615-B14E-412D-B32C-1A8E766EE53A} - C:\WINNT\system32\msxml2ad.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe" O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe" O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49E37022-E1F5-4B24-A476-1CB7CBBD5BD9}: NameServer = 192.168.123.252,192.168.123.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{567E360A-8709-437B-B149-95FD7C1AA9A0}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{D83BA9E9-62E3-4E6E-9BFC-52F5CD0811EB}: NameServer = 192.168.122.252,192.168.122.253 O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe |
|
|
||
1. Ich suche über Google etwas. Klick auf der Ergebnissseite einen Link an und lande wo vollkommen anders. Derzeit meistens auf http://www.genealogie.de/?w=16 .
2. Ich tippe eine URL ein und lande woanders. Immer URLs mit adfarm.mediaplex oder ad.zanox.
3. Wenn ich einen Link aus aus Googlesuche anklicke lande ich bei http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?mpro=http... Eine Weiterleitung erfolgt nicht (auch bei ausgeschalteter Firewall)
Zu 1 habe ich einige Threads gefunden. Ist die Vorgehensweise noch wie im Thread "Falsche Links bei google" von dagmar.ingo / 04.01.2007 beschrieben oder soll ich ganz anders anfangen?
In localhost nur 127.0.0.1 drin.
cwshredder laufen lassen.
Trendmicro House Call
Ad-Aware
Spybot
Cache und Cookies gelöscht
Simply Super
Spywareremove
Danke im Voraus.
Gruß
Guido