Home » Spyware & Browser Hijacker Support Forum » Falsche links aus google bzw. keine Weiterleitung » Themenansicht

Falsche links aus google bzw. keine Weiterleitung
#0
06.02.2007, 20:26
netter_guido
Member

Beiträge: 12
#1 Hallo Forum,

1. Ich suche über Google etwas. Klick auf der Ergebnissseite einen Link an und lande wo vollkommen anders. Derzeit meistens auf http://www.genealogie.de/?w=16 .

2. Ich tippe eine URL ein und lande woanders. Immer URLs mit adfarm.mediaplex oder ad.zanox.

3. Wenn ich einen Link aus aus Googlesuche anklicke lande ich bei http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?mpro=http... Eine Weiterleitung erfolgt nicht (auch bei ausgeschalteter Firewall)

Zu 1 habe ich einige Threads gefunden. Ist die Vorgehensweise noch wie im Thread "Falsche Links bei google" von dagmar.ingo / 04.01.2007 beschrieben oder soll ich ganz anders anfangen?

In localhost nur 127.0.0.1 drin.
cwshredder laufen lassen.
Trendmicro House Call
Ad-Aware
Spybot
Cache und Cookies gelöscht
Simply Super
Spywareremove

Danke im Voraus.

Gruß

Guido
Seitenanfang Seitenende
07.02.2007, 14:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 netter_guido ;)

arbeite das ab und poste alle logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 12:06
netter_guido
Member

Themenstarter

Beiträge: 12
#3 Hallo Sabina,

vielen Dank.

Sorry das es etwas gedauert hat aber jetzt hab ich Wochenende und eine Komplettsicherung ist vorsichtshalber auch gemacht.

1.
Erstellen eines Hijackthis-Logfiles (komplett):

Logfile of HijackThis v1.99.1
Scan saved at 12:04:01, on 09.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\system32\SerExt.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\THOR1\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9D6672D5-6FD1-4579-AEF2-047961792B52} - C:\WINNT\system32\ocmanahe.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49E37022-E1F5-4B24-A476-1CB7CBBD5BD9}: NameServer = 192.168.123.252,192.168.123.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{567E360A-8709-437B-B149-95FD7C1AA9A0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83BA9E9-62E3-4E6E-9BFC-52F5CD0811EB}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Mache jetzt mit 2. weiter

Gruß

Guido
Dieser Beitrag wurde am 09.02.2007 um 12:22 Uhr von netter_guido editiert.
Seitenanfang Seitenende
09.02.2007, 12:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 o.k. - poste die restlichen Logs ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 12:21
netter_guido
Member

Themenstarter

Beiträge: 12
#5 HuHu Sabina,

2. Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
http://www.stevengould.org/downloads/cleanup/CleanUp452.exe
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

Kann den Punkt Delete Prefetch files nicht auswählen. Ist gesperrt ;)

Was nun?
Seitenanfang Seitenende
09.02.2007, 12:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kein Problem, hake alles andere an + starte den rechner neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 12:47
netter_guido
Member

Themenstarter

Beiträge: 12
#7 3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
http://download.bleepingcomputer.com/sUBs/combofix.exe

"THOR" - Fr 09.02.2007 12:43:12 Service Pack 4
ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\THOR1\Eigene Dateien\Trojaner"

((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 ))))))))))))))))))))))))))))))))))


2007-02-09 12:40 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_534.dat
2007-02-06 17:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-02-06 17:10 75,264 --a------ C:\WINNT\system32\unacev2.dll
2007-02-06 17:10 153,088 --a------ C:\WINNT\system32\UNRAR3.dll
2007-02-06 17:10 <DIR> d-------- C:\Programme\Trojan Remover
2007-02-06 17:10 <DIR> d-------- C:\DOKUME~1\THOR1\Anwendungsdaten\Simply Super Software
2007-02-05 20:22 909,312 --a------ C:\WINNT\system32\vorbisenc.dll
2007-02-05 20:22 36,864 --a------ C:\WINNT\system32\ogg.dll
2007-02-05 20:22 182,784 --a------ C:\WINNT\system32\DGVorbis.dll
2007-02-05 20:22 175,104 --a------ C:\WINNT\system32\lame_enc.dll
2007-02-05 20:22 118,784 --a------ C:\WINNT\system32\MP3DEE.DLL
2007-02-05 20:22 1,060,864 --a------ C:\WINNT\system32\vorbis.dll
2007-02-05 20:22 <DIR> d-------- C:\Programme\s25atonce
2007-02-05 18:08 <DIR> d-------- C:\Programme\Enigma Software Group
2007-02-05 15:48 454,656 --a------ C:\WINNT\system32\mmSQL.dll
2007-02-05 15:03 <DIR> d-------- C:\Programme\Mobile Master
2007-02-04 18:46 <DIR> d-------- C:\Programme\Google
2007-02-04 18:46 <DIR> d-------- C:\DOKUME~1\THOR1\Anwendungsdaten\Google
2007-02-04 12:06 8,192 --a------ C:\DOKUME~1\ALLUSE~1\ntuser.dat
2007-01-29 14:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SecTaskMan
2007-01-12 21:59 258,048 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-01-12 21:59 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-01-12 21:59 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Startmen
2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-01-12 21:59 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\Real
2007-01-12 08:54 16,384 --a------ C:\WINNT\system32\Perflib_Perfdata_438.dat


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-28 16:10 -------- d-------- C:\Programme\optical mousemate
2006-12-28 15:19 -------- d-------- C:\Programme\CCleaner
2006-12-10 14:18 16384 --a------ C:\WINNT\system32\perflib_perfdata_538.dat
2006-11-23 12:36 0 --a------ C:\WINNT\system32\sbrc.dat
2006-11-23 12:36 0 --a------ C:\WINNT\system32\sbfc.dat
2006-11-15 17:00 876544 --a------ C:\WINNT\system32\sport.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"C-Media Mixer"="Mixer.exe /startup"
"Synchronization Manager"="mobsync.exe /logon"
"iamapp"="C:\\PROGRA~1\\Atguard\\iamapp.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"SerExt"="SerExt.exe /plug"
"CaAvTray"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVTray.exe\""
"CAVRID"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVRID.exe\""
"WheelMouse"="C:\\PROGRA~1\\OPTICA~1\\4DMAIN.EXE"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"TrojanScanner"="C:\\Programme\\Trojan Remover\\Trjscan.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0
wugroup REG_MULTI_SZ wuauserv\0\0
BITSgroup REG_MULTI_SZ BITS\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
WmdmPmSN



Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\159D99BD971AAB85.job
C:\WINNT\tasks\Drive Image-Backup.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: Fri 2007-02-09 12:44:42


4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)

Frage: Warum nur 3 Monate? Ich habe das problem evtl. schon länger. Macht das was? Und habe 2 neue Dateien in C:\ hiberfil.sys und pagefile.sys. Was ist das? Kann man die löschen?

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT\system32

09.02.2007 12:40 16.384 Perflib_Perfdata_534.dat
08.02.2007 22:59 9.007 PQ_DEBUG.TXT
08.02.2007 22:59 0 pqtmp.fil
12.01.2007 08:55 16.384 Perflib_Perfdata_438.dat
02.01.2007 15:19 10.980.776 MRT.exe
10.12.2006 14:18 16.384 Perflib_Perfdata_538.dat
29.11.2006 16:17 1.098 PQ_BATCH.PQB
23.11.2006 12:36 0 SBRC.dat
23.11.2006 12:36 0 SBFC.dat
15.11.2006 17:00 876.544 SPort.dll
11.11.2006 21:52 454.656 mmSQL.dll
09.11.2006 11:00 107.808 FNTCACHE.DAT

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\DOKUME~1\THOR1\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT

09.02.2007 12:37 32.562 SchedLgU.Txt
05.02.2007 17:32 8.869 KB929969-IE6SP1-20061220.120000.log
05.02.2007 17:31 16.965 KB925454-IE6SP1-20061116.120000.log
05.02.2007 17:31 4.521 updspapi.log
05.02.2007 17:30 7.827 comsetup.log
05.02.2007 17:30 6.263 KB922760-IE6SP1-20061018.120000.log
05.02.2007 17:30 21.102 iis5.log
05.02.2007 17:30 1.392 imsins.log
05.02.2007 17:30 642 ockodak.log
05.02.2007 17:30 8.166 ocgen.log
05.02.2007 17:27 1.410 imsins.BAK
05.02.2007 17:24 0 setuperr.log
05.02.2007 17:24 0 setupact.log
05.02.2007 16:34 458 SCROLL.INI
05.02.2007 15:09 225 HARDCOPY.INI
02.02.2007 14:58 1.460 ODBC.INI
01.02.2007 22:10 54.156 QTFont.qfn
31.01.2007 20:52 7.284 wmsetup.log
31.01.2007 14:06 101 CMMIXER.INI
30.01.2007 07:18 2.722.874 ShellIconCache
12.01.2007 21:59 345 OEWABLog.txt
28.12.2006 16:10 27.523 setupapi.log
30.11.2006 18:51 63 mdm.ini
11.11.2006 11:50 1.409 QTFont.for

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT\temp


Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT\Downloaded Program Files

25.10.2006 12:18 385.536 Housecall_ActiveX.dll

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\

09.02.2007 12:51 0 sys.txt
09.02.2007 12:50 1.046 down.txt
09.02.2007 12:50 107 tmp.txt
09.02.2007 12:50 6.570 system.txt
09.02.2007 12:50 125 systemtemp.txt
09.02.2007 12:48 96.956 system32.txt
09.02.2007 12:38 536.395.776 hiberfil.sys
09.02.2007 12:38 805.306.368 pagefile.sys
08.02.2007 06:12 347.685 hoTrace.log
26.12.2006 12:02 6.931 voxFcoldrv.log
23.11.2006 17:40 344 SBCSTray.log
Dieser Beitrag wurde am 09.02.2007 um 12:58 Uhr von netter_guido editiert.
Seitenanfang Seitenende
09.02.2007, 12:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{9D6672D5-6FD1-4579-AEF2-047961792B52}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

ocmanahe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-----------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP" >>files.txt
dir "C:\WINNT\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINNT\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 13:37
netter_guido
Member

Themenstarter

Beiträge: 12
#9 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 09.02.2007 13:36:15 for strings:
; '{9d6672d5-6fd1-4579-aef2-047961792b52}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


Zitat

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52}

Files to delete:
C:\WINNT\system32\ocmanahe.dll
C:\WINNT\system32\sbrc.dat
C:\WINNT\system32\sbfc.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52}]

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 09.02.2007 13:32:52 for strings:
; 'ocmanahe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}\InprocServer32]
@="C:\\WINNT\\system32\\ocmanahe.dll"

; End Of The Log...

und jetzt noch die listen.bat:

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

06.02.2007 17:11 <DIR> .
06.02.2007 17:11 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 17.489.461.248 Bytes frei
Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT\Downloaded Program Files

21.08.2003 15:04 <DIR> .
21.08.2003 15:04 <DIR> ..
05.11.1998 16:11 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
03.03.2003 14:06 524.404 RdxIE.dll
05.02.2004 12:49 5.295.650 QuickTimeInstallCache.qdat
27.10.2003 11:35 510.552 MSNChat45.ocx
24.10.2003 14:01 278 MsnChat45.inf
24.03.2005 22:40 36.864 MsnChat40de-de.dll
30.06.2003 22:41 1.689 WMV9VCM.inf
22.06.2006 11:41 5.032 swflash.inf
20.01.2005 14:53 171 ampx.inf
15.09.2004 10:20 740 jinstall-1_5_0.inf
25.10.2006 12:18 385.536 Housecall_ActiveX.dll
14.10.2006 00:16 723 hcImpl.inf
13 Datei(en) 6.763.498 Bytes
2 Verzeichnis(se), 17.489.461.248 Bytes frei
Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\WINNT\Temp

09.02.2007 12:44 <DIR> .
09.02.2007 12:44 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 17.489.461.248 Bytes frei
Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\Programme

21.08.2003 14:51 <DIR> .
21.08.2003 14:51 <DIR> ..
21.08.2003 14:51 <DIR> Gemeinsame Dateien
21.08.2003 15:03 <DIR> Windows NT
21.08.2003 15:03 <DIR> Zubeh”r
21.11.2005 16:28 <DIR> Audacity
18.02.2006 15:47 <DIR> REGSHAVE
21.08.2003 15:04 <DIR> Internet Explorer
21.08.2003 15:04 <DIR> Outlook Express
21.08.2003 15:04 <DIR> NetMeeting
21.08.2003 15:04 <DIR> Windows Media Player
21.08.2003 15:05 <DIR> microsoft frontpage
21.08.2003 15:40 <DIR> Intel
21.08.2003 15:50 <DIR> ATI Technologies
17.09.2006 10:02 <DIR> CA
30.09.2005 21:59 <DIR> Siemens
30.11.2005 19:20 <DIR> Vi-Soft
21.08.2003 17:17 <DIR> Microsoft Office
28.12.2006 15:14 <DIR> Browser MOUSE
22.08.2003 11:18 <DIR> PCWELT
12.04.2005 17:52 <DIR> IRC
02.12.2005 11:36 <DIR> Labtec
28.12.2005 19:54 <DIR> Phone Ball
22.08.2003 12:08 <DIR> Microsoft Office Icons
22.08.2003 12:45 <DIR> QuickDic 4
22.08.2003 16:56 <DIR> RegCleaner
05.02.2007 15:03 <DIR> Mobile Master
04.08.2006 20:44 <DIR> Serials 2000 7.1 Plus
18.11.2006 10:47 <DIR> Java
09.08.2006 17:02 <DIR> Gigaset DECT
30.06.2006 11:22 <DIR> WinRAR
21.11.2005 13:13 <DIR> Illustrate
28.12.2006 16:10 <DIR> Optical Mousemate
04.02.2007 18:46 <DIR> Google
27.08.2003 20:03 <DIR> Lavasoft
23.11.2003 17:11 990.207 Advanced Office 2000 Password Recovery Pro v1.10.zip
23.11.2003 17:10 592 Advanced Office 2000 Password Recovery Pro v1.10 Serial.zip
29.11.2003 16:18 <DIR> PowerQuest
18.02.2006 15:47 <DIR> FinePixViewer
09.12.2003 08:00 <DIR> Ahead
12.07.2006 11:20 <DIR> MobileMusic
05.01.2004 15:12 <DIR> Real
28.12.2006 15:19 <DIR> CCleaner
05.02.2004 12:48 <DIR> QuickTime
28.04.2004 13:55 <DIR> LEXWARE
12.07.2006 10:02 <DIR> Coding Workshop Ringtone Converter
30.11.2006 18:51 <DIR> Microsoft Visual Studio
05.02.2007 18:08 <DIR> Enigma Software Group
19.08.2006 22:27 <DIR> YOU DON'T KNOW JACK 2
23.11.2006 12:28 <DIR> Downloaded Installations
05.02.2007 20:22 <DIR> s25atonce
13.06.2004 10:50 <DIR> Messenger
13.06.2004 10:50 <DIR> MSN Messenger
09.02.2007 12:07 <DIR> CleanUp!
13.06.2004 14:37 <DIR> AVM_update
13.06.2004 14:45 <DIR> FRITZ!
13.06.2004 14:57 <DIR> FRITZ!DSL
06.02.2007 17:10 <DIR> Trojan Remover
13.06.2004 17:37 <DIR> CASIO
13.06.2004 17:38 <DIR> Enterprise Harmony2002
17.06.2004 20:54 <DIR> Webcam
23.04.2005 15:11 <DIR> Adobe
03.05.2005 17:03 <DIR> WinZip
17.05.2005 12:57 <DIR> Atguard
21.05.2005 01:43 <DIR> IrfanView
15.06.2005 04:29 <DIR> Mozilla Firefox
18.06.2005 08:25 <DIR> Digital
12.07.2005 07:15 <DIR> MSN Apps
2 Datei(en) 990.799 Bytes
66 Verzeichnis(se), 17.489.461.248 Bytes frei
Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

21.08.2003 14:51 <DIR> .
21.08.2003 14:51 <DIR> ..
21.08.2003 14:57 <DIR> Microsoft
05.02.2004 12:47 <DIR> QuickTime
13.06.2004 14:46 <DIR> ISDNWatch
23.04.2005 15:15 <DIR> Adobe
23.07.2005 12:53 <DIR> moreMSG
04.12.2005 07:49 <DIR> Trymedia
21.11.2006 16:13 <DIR> Spybot - Search & Destroy
23.11.2006 17:30 1.128 Svclog.log
19.12.2006 13:22 <DIR> CA
29.01.2007 14:49 <DIR> SecTaskMan
06.02.2007 17:11 <DIR> TEMP
1 Datei(en) 1.128 Bytes
12 Verzeichnis(se), 17.489.461.248 Bytes frei
Datentr„ger in Laufwerk C: ist C THOR
Datentr„gernummer: 4365-CD21

Verzeichnis von C:\Programme\Gemeinsame Dateien

21.08.2003 14:51 <DIR> .
21.08.2003 14:51 <DIR> ..
21.08.2003 14:51 <DIR> Microsoft Shared
21.08.2003 14:51 <DIR> ODBC
21.08.2003 15:04 <DIR> System
21.08.2003 15:04 <DIR> Dienste
21.08.2003 15:40 <DIR> InstallShield
21.08.2003 17:19 <DIR> Designer
22.08.2003 18:28 <DIR> Adobe
05.01.2004 15:12 <DIR> Real
05.01.2004 15:12 <DIR> xing shared
28.04.2004 13:56 <DIR> Lexware
13.06.2004 14:46 <DIR> AVM
13.06.2004 17:38 <DIR> XCPCSync
03.07.2004 14:30 <DIR> Adaptec Shared
13.07.2005 09:33 <DIR> Nokia
15.07.2005 08:57 <DIR> LogoManager
03.10.2006 07:50 <DIR> Siemens AG Shared
17.11.2006 20:43 <DIR> Nullsoft
17.11.2006 20:43 <DIR> NSV
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 17.489.461.248 Bytes frei
Seitenanfang Seitenende
09.02.2007, 14:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 poste dieses log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 14:18
netter_guido
Member

Themenstarter

Beiträge: 12
#11 WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
UPX! 29.07.2004 01:19:46 175104 C:\WINNT\SYSTEM32\lame_enc.dll
Umonitor 19.06.2003 12:05:04 549648 C:\WINNT\SYSTEM32\RASDLG.DLL
winsync 10.12.1999 12:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu
PECompact2 02.01.2007 15:19:46 10980776 C:\WINNT\SYSTEM32\MRT.exe
aspack 02.01.2007 15:19:46 10980776 C:\WINNT\SYSTEM32\MRT.exe
UPX! 28.01.2002 10:29:54 29184 C:\WINNT\SYSTEM32\kwab.dll
PEC2 08.02.2005 11:19:00 203264 C:\WINNT\SYSTEM32\tssOfficeMenu1c.ocx
PECompact2 08.02.2005 11:19:00 203264 C:\WINNT\SYSTEM32\tssOfficeMenu1c.ocx
UPX! 19.07.2002 11:08:14 182784 C:\WINNT\SYSTEM32\DGVorbis.dll

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
30.01.2007 07:18:26 H 2722874 C:\WINNT\ShellIconCache
01.02.2007 22:10:56 H 54156 C:\WINNT\QTFont.qfn
09.02.2007 13:23:32 H 20480 C:\WINNT\system32\config\software.LOG
09.02.2007 12:44:52 H 1024 C:\WINNT\system32\config\default.LOG
09.02.2007 12:39:08 H 1024 C:\WINNT\system32\config\SECURITY.LOG
09.02.2007 12:39:34 H 1024 C:\WINNT\system32\config\SAM.LOG
09.02.2007 12:38:34 H 6 C:\WINNT\Tasks\SA.DAT
09.02.2007 14:00:02 H 262 C:\WINNT\Tasks\159D99BD971AAB85.job
09.02.2007 12:38:42 S 64 C:\WINNT\CSC\00000001
12.01.2007 21:50:14 S 64 C:\WINNT\CSC\csc1.tmp
28.01.2007 16:57:24 S 64 C:\WINNT\CSC\00000002

Checking for CPL files...
Microsoft Corporation 19.06.2003 12:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 19.06.2003 12:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL
Microsoft Corporation 10.12.1999 12:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 10.12.1999 12:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 10.12.1999 12:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 10.12.1999 12:00:00 122640 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 10.12.1999 12:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl
WRQ, Inc. 12.10.1999 15:49:48 248832 C:\WINNT\SYSTEM32\iamcpl.cpl
Microsoft Corporation 10.12.1999 12:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl
Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 15.05.2001 13:43:08 41232 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 19.06.2003 12:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl
Microsoft Corporation 19.06.2003 12:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 19.06.2003 12:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL
Microsoft Corporation 10.12.1999 12:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 10.12.1999 12:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl
Apple Computer, Inc. 23.12.2003 17:42:58 324608 C:\WINNT\SYSTEM32\QuickTime.cpl
Microsoft Corporation 10.12.1999 13:00:00 68880 C:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 19.06.2003 12:05:04 54784 C:\WINNT\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 30.10.2001 08:10:00 326144 C:\WINNT\SYSTEM32\joy.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 15.05.2001 13:43:08 41232 C:\WINNT\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 10.12.1999 12:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 19.06.2003 12:05:04 54784 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl
IBM Corporation 07.10.1999 01:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
09.11.2006 11:06:50 1470 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
23.11.2006 17:30:50 1128 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Svclog.log

Checking files in %USERPROFILE%\Startup folder...
09.11.2006 11:06:52 481 C:\Dokumente und Einstellungen\THOR1\Startmenü\Programme\Autostart\FRITZ!web DSL.lnk

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\CA_AntiVirus
{1CE2AA40-1317-11D3-9922-00104B0AD431} = C:\WINNT\avshlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Trojan Remover
{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
=
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin =

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\CA_AntiVirus
{1CE2AA40-1317-11D3-9922-00104B0AD431} = C:\WINNT\avshlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Trojan Remover
{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{FED7043D-346A-414D-ACD7-550D052499A7}
= C:\Programme\Illustrate\dBpowerAMP\dBShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52}
= C:\WINNT\system32\ocmanahe.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}
AcroIEToolbarHelper Class = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{182EC0BE-5110-49C8-A062-BEB1D02A220B}
Adobe PDF = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : C:\WINNT\System32\msdxm.ocx
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = Adobe PDF : C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = Adobe PDF : C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C-Media Mixer Mixer.exe /startup
Synchronization Manager mobsync.exe /logon
iamapp C:\PROGRA~1\Atguard\iamapp.exe
REGSHAVE C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
SerExt SerExt.exe /plug
CaAvTray "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
CAVRID "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
WheelMouse C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
TrojanScanner C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 149
CDRAutoRun 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = C:\WINNT\system32\NETSHELL.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif
= wzcdlg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 09.02.2007 14:17:21
Seitenanfang Seitenende
09.02.2007, 14:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 netter_guido

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{9D6672D5-6FD1-4579-AEF2-047961792B52}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D6672D5-6FD1-4579-AEF2-047961792B52}

Files to delete:
C:\WINNT\tasks\159D99BD971AAB85.job
C:\WINNT\system32\ocmanahe.dll
C:\WINNT\system32\sbrc.dat
C:\WINNT\system32\sbfc.dat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 14:50
netter_guido
Member

Themenstarter

Beiträge: 12
#13 Hat nach dem avenger so eine fehlermeldung gebracht beim booten "Bitte Laufwek einlegen ..." Eine HD. macht das was? (log ist durch Reboot von fixwareout leider weg). Nochmal laufen lassen?


Fixwareout
Last edited 1/30/2007
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values

»»»»» System restarted
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

»»»»» Misc files.

»»»»» Checking for older varients.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"System"=""
»»»»»

PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION.

This WILL/CAN also list Legit Files, Submit them at Virustotal
Search five digit cs, dm kd and jb files.
»»»»»
»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe /startup"
"Synchronization Manager"="mobsync.exe /logon"
"iamapp"="C:\\PROGRA~1\\Atguard\\iamapp.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"SerExt"="SerExt.exe /plug"
"CaAvTray"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVTray.exe\""
"CAVRID"="\"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAVRID.exe\""
"WheelMouse"="C:\\PROGRA~1\\OPTICA~1\\4DMAIN.EXE"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"TrojanScanner"="C:\\Programme\\Trojan Remover\\Trjscan.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Hosts file was reset, If you use a custom hosts file please replace it
Seitenanfang Seitenende
09.02.2007, 16:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 poste das neue Log vom HijackThis und berichte, ob die seiten noch umgeleitet werden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 18:35
netter_guido
Member

Themenstarter

Beiträge: 12
#15 Leider werde ich immer noch umgeleitet ;) *heul*
Meine Maus wurde auch deinstalliert. Ist das normal?

Logfile of HijackThis v1.99.1
Scan saved at 18:33:41, on 09.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\system32\SerExt.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\THOR1\Eigene Dateien\Trojaner\HijackThis_1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FAC62615-B14E-412D-B32C-1A8E766EE53A} - C:\WINNT\system32\msxml2ad.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49E37022-E1F5-4B24-A476-1CB7CBBD5BD9}: NameServer = 192.168.123.252,192.168.123.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{567E360A-8709-437B-B149-95FD7C1AA9A0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83BA9E9-62E3-4E6E-9BFC-52F5CD0811EB}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12