Startseite umgeleitet/gelbes Ausrufezeichen in Taskleiste/Protection Bar

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.03.2007, 10:12
...neu hier

Beiträge: 3
#1 Hallo, also meine Probleme sind...

1.:Egal welche Seite ich als Startseite wähle, ich komme immer wenn ich meinen IE(7) öffne, anstatt auf meine Startseite (google) auf asafetyproject.com/ (ungewollt!)

2.:Ich habe in meiner Taskleiste rechts unten ein ab und zu auftauchendes gelbes Warndreieck!

3.: Ich hab auch noch so eine Protection Bar/Scan for Spyware/Remove adware & Popups/Spam protection/Security test - Schnellstartleiste in meinem IE7!

(ich habe mir dies wahrscheinlich beim runterladen eines Active x - Steuerelements eingefangen)

Ich habe schon ein anderes Icon (abwechselndes Fragezeichen/eine Art Parken verboten-Schild) aus meiner Taskleiste entfernen können, aber JETZT WEIß ICH AUCH NICHT MEHR WEITER ! ! !

Wenn mir jemand zu Helfen weiß, dann wäre ich ihm/ihr sehr dankbar!
__________
Ich kenne mich hier & da aus, fragt mich, wenn ihr irgendetwas wissen wollt..........
Dieser Beitrag wurde am 27.03.2007 um 13:43 Uhr von Dome editiert.
Seitenanfang Seitenende
27.03.2007, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Dome

1.
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------------------------------------------------------

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
Combofix - Textdatei im Thead posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2007, 12:46
...neu hier

Themenstarter

Beiträge: 3
#3 Logfile of HijackThis v1.99.1
Scan saved at 12:46:15, on 27.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
L:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
L:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
L:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
L:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
L:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
L:\Programme\Video Access ActiveX Object\isamntr.exe
L:\Programme\Video Access ActiveX Object\pmsnrr.exe
L:\Programme\Video Access ActiveX Object\pmmnt.exe
L:\Programme\avmwlanstick\FRITZWLANMini.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
L:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\Dit.exe
L:\Programme\Office Keyboard & Mouse Driver\PS2USBKbdDrv.exe
L:\Programme\Office Keyboard & Mouse Driver\MouseDrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
L:\Programme\Google\Google Updater\GoogleUpdater.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
L:\Programme\QIP\qip.exe
L:\Programme\Windows Media Player\wmplayer.exe
L:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dominik\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - L:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - L:\Programme\Video Access ActiveX Object\isadd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - l:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - l:\programme\google\googletoolbar1.dll
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - L:\Programme\Video Access ActiveX Object\iesplugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [AVMWlanClient] L:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "L:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [WireLessMouse] L:\Programme\Office Keyboard & Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] L:\Programme\Office Keyboard & Mouse Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "L:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] L:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Google Updater.lnk = L:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - L:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: L:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - L:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - L:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - L:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - F:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - L:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - L:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - L:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - L:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

-----------------------------------------------------------------
Und das hat Combofix ausgespuckt:
-----------------------------------------------------------------

"Dominik" - 07-03-27 13:35:23 Service Pack 2
ComboFix 07-03-27.4 - Running from: "C:\Dokumente und Einstellungen\Dominik\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\microsoft shared\web folders


((((((((((((((((((((((((((((((( Files Created from 2007-02-27 to 2007-03-27 ))))))))))))))))))))))))))))))))))


2007-03-27 12:30 <DIR> d-------- C:\DOKUME~1\Dominik\Shared
2007-03-27 10:26 <DIR> d-------- C:\DOKUME~1\Dominik\DoctorWeb
2007-03-26 20:27 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\RegistrySmart
2007-03-25 19:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-03-24 12:53 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-03-10 21:32 2,321,408 --a------ C:\WINDOWS\system32\TUKernel.exe
2007-03-09 16:18 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\FastStone
2007-03-09 16:18 <DIR> d-------- C:\DOKUME~1\Dominik\.artofillusion
2007-03-09 15:41 <DIR> d-------- C:\DOKUME~1\Dominik\temp
2007-03-09 15:40 344,064 --a------ C:\WINDOWS\Ripples.scr
2007-03-09 15:40 24,576 --a------ C:\WINDOWS\RipplesRun.exe
2007-03-09 15:40 20,480 --a------ C:\WINDOWS\RipplesConfig.exe
2007-03-09 15:40 125,712 --a------ C:\WINDOWS\system32\vb6de.dll
2007-03-09 15:21 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\TuneUp Software
2007-03-09 15:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-03-04 19:41 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2007-03-04 19:40 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2007-03-04 19:36 4,629,504 --a------ C:\WINDOWS\Kaminfeuer Titanium Edition.scr
2007-03-04 19:36 34,816 --a------ C:\WINDOWS\system32\MCIDE.dll
2007-03-04 19:35 99,866 --a------ C:\WINDOWS\system32\VB5DE.dll
2007-03-04 19:35 72,704 --a------ C:\WINDOWS\ST5UNST.EXE
2007-03-04 19:35 29,696 --a------ C:\WINDOWS\system32\VB5StKit.dll
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\RecordPad
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\NCH Swift Sound
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NCH Swift Sound
2007-03-03 22:25 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\FrostWire


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-27 13:16 13111 --a------ C:\combofix2.txt
2007-03-27 13:16 13111 --a------ C:\combofix2.txt
2007-03-27 13:16 -------- d-------- C:\windows
2007-03-27 13:16 -------- d-------- C:\windows
2007-03-27 12:57 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-27 12:57 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-27 11:57 6490 --a------ C:\DOKUME~1\Dominik\ANWEND~1\wklnhst.dat
2007-03-27 09:25 12091 --a------ C:\combofix3.txt
2007-03-27 09:25 12091 --a------ C:\combofix3.txt
2007-03-27 09:05 108 --a------ C:\findedaten.txt
2007-03-27 09:05 108 --a------ C:\findedaten.txt
2007-03-27 08:55 -------- dr------- C:\programme
2007-03-27 08:55 -------- dr------- C:\programme
2007-03-25 13:30 -------- d-------- C:\temp
2007-03-25 13:30 -------- d-------- C:\temp
2007-03-24 15:09 389 --ahs---- C:\boot.ini
2007-03-24 15:09 389 --ahs---- C:\boot.ini
2007-03-03 20:51 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\limewire
2007-02-20 13:11 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\opera
2007-02-20 12:47 0 --a------ C:\adobedebug.txt
2007-02-20 12:47 0 --a------ C:\adobedebug.txt
2007-02-19 19:49 109568 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-02-19 19:49 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-02-13 20:45 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\fritz!
2007-02-10 20:50 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\sun
2007-02-10 12:59 -------- d-------- C:\wheelierr
2007-02-10 12:59 -------- d-------- C:\wheelierr
2007-02-03 15:54 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\adobeum
2007-02-03 12:20 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\google
2007-02-02 20:10 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2007-02-02 20:10 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-01-30 17:56 13030 --a------ C:\pdoxusrs.net
2007-01-30 17:56 13030 --a------ C:\pdoxusrs.net
2007-01-26 17:13 0 --a------ C:\vstcdbg.log
2007-01-26 17:13 0 --a------ C:\vstcdbg.log
2007-01-25 19:31 88952 --a------ C:\WINDOWS\system32\packet.dll
2007-01-25 19:31 68480 --a------ C:\WINDOWS\system32\wanpacket.dll
2007-01-25 19:31 53299 --a------ C:\WINDOWS\system32\pthreadvc.dll
2007-01-25 19:31 240496 --a------ C:\WINDOWS\system32\wpcap.dll
2007-01-24 16:27 255848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-01-16 16:46 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-01-13 20:02 251184 -rahs---- C:\ntldr
2007-01-13 20:02 251184 -rahs---- C:\ntldr
2007-01-13 19:52 0 -rahs---- C:\msdos.sys
2007-01-13 19:52 0 -rahs---- C:\MSDOS.SYS
2007-01-13 19:52 0 -rahs---- C:\msdos.sys
2007-01-13 19:52 0 -rahs---- C:\io.sys
2007-01-13 19:52 0 -rahs---- C:\IO.SYS
2007-01-13 19:52 0 -rahs---- C:\io.sys
2007-01-13 19:52 0 --a------ C:\CONFIG.SYS
2007-01-13 19:52 0 --a------ C:\config.sys
2007-01-13 19:52 0 --a------ C:\config.sys
2007-01-13 19:52 0 --a------ C:\AUTOEXEC.BAT
2007-01-13 19:52 0 --a------ C:\autoexec.bat
2007-01-13 19:52 0 --a------ C:\autoexec.bat
2007-01-13 19:49 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-01-13 19:42 62 --ahs---- C:\DOKUME~1\Dominik\ANWEND~1\desktop.ini
2007-01-08 20:01 17408 --a------ C:\WINDOWS\system32\corpol.dll
2007-01-08 16:30 15128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"swg"="L:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"EPSON Stylus DX3800 Series (Kopie 1)"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P36 \"EPSON Stylus DX3800 Series (Kopie 1)\" /O6 \"USB001\" /M \"Stylus DX3800\""
"AVMWlanClient"="L:\\Programme\\avmwlanstick\\FRITZWLANMini.exe"
"ccApp"="\"F:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"osCheck"="\"L:\\Programme\\Norton Internet Security\\osCheck.exe\""
"WireLessMouse"="L:\\Programme\\Office Keyboard & Mouse Driver\\StartAutorun.exe MouseDrv.exe"
"WireLessKeyboard"="L:\\Programme\\Office Keyboard & Mouse Driver\\StartAutorun.exe PS2USBKbdDrv.exe"
"SunJavaUpdateSched"="\"L:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"Dit"="Dit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"Adobe Photo Downloader"="\"L:\\Programme\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""
"QuickTime Task"="\"L:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="F:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="L:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_FATIACE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O5 \"LPT1:\" /M \"Stylus DX3800\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"L:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"L:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PhotoshopElementsDeviceConnect"=dword:00000002
"CLTNetCnService"=dword:00000002
"AVM IGD CTRL Service"=dword:00000002


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="L:\\Programme\\Video Access ActiveX Object\\isamntr.exe"
"rare"="L:\\Programme\\Video Access ActiveX Object\\pmsnrr.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Norton Internet Security Online - Vollst„ndige Systemprfung ausfhren - Dominik.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-27 13:37:57
C:\ComboFix2.txt ... 07-03-27 13:16
C:\ComboFix3.txt ... 07-03-27 09:25
__________
Ich kenne mich hier & da aus, fragt mich, wenn ihr irgendetwas wissen wollt..........
Dieser Beitrag wurde am 27.03.2007 um 13:39 Uhr von Dome editiert.
Seitenanfang Seitenende
27.03.2007, 15:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Hallo Dome,Ich würde gerne ein Experiment machen

Download: RemoveVideoActiveXObject.exe zum Desktop
Danach dopplelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht zuzammen mit ein log von HijackThis

Edit
Und ein Neuer log von Combofix


__________
MfG Argus
Dieser Beitrag wurde am 27.03.2007 um 15:45 Uhr von Arnold editiert.
Seitenanfang Seitenende
27.03.2007, 16:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Dome

«
wenn du Arnolds exe abgearbeitet hast - + das neue log von combofix gepostet, arbeite option 2 von smitfraudfix ab ;)
http://virus-protect.org/artikel/tools/smitfrautfix.html
dann sollte das Prob ebenfalls behoben sein.

»
dann mache noch einen Onlinescan mit ewido und lasse alles gefundene loeschen
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2007, 09:15
...neu hier

Themenstarter

Beiträge: 3
#6 ----------------RemoveVideoActiveXObject.exe first run-------------

Files found:

C:\Dokumente und Einstellungen\Dominik\FAVORI~1\Online Security Test.url

Video Access ActiveX Object folder:

L:\Programme\Video Access ActiveX Object\pmunst.exe
L:\Programme\Video Access ActiveX Object\uninst.exe

Uninstallers Rogue scanners:


Folders Found:


--------------RemoveVideoActiveXObject.exe last run---------------

Files found:


Video Access ActiveX Object folder:

L:\Programme\Video Access ActiveX Object\pmunst.exe
L:\Programme\Video Access ActiveX Object\uninst.exe

Uninstallers Rogue scanners:


Folders Found:

-----------------------------------------------
Das ist von HijackThis:
-----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 09:07:13, on 28.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
L:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
L:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
L:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
L:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
L:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
L:\Programme\avmwlanstick\FRITZWLANMini.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
L:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\Dit.exe
L:\Programme\Office Keyboard & Mouse Driver\PS2USBKbdDrv.exe
L:\Programme\Office Keyboard & Mouse Driver\MouseDrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
L:\Programme\Google\Google Updater\GoogleUpdater.exe
L:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
L:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
L:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Dokumente und Einstellungen\Dominik\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - L:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - l:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - l:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - L:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [AVMWlanClient] L:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "L:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [WireLessMouse] L:\Programme\Office Keyboard & Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] L:\Programme\Office Keyboard & Mouse Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "L:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] L:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Google Updater.lnk = L:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - L:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - L:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: L:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - L:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - L:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - L:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - F:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - L:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - L:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - L:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - L:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

-------------------------------------------------
Und das ist von ComboFix
-------------------------------------------------


"Dominik" - 07-03-28 9:09:18 Service Pack 2
ComboFix 07-03-27.4 - Running from: "C:\Dokumente und Einstellungen\Dominik\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\microsoft shared\web folders


((((((((((((((((((((((((((((((( Files Created from 2007-02-28 to 2007-03-28 ))))))))))))))))))))))))))))))))))


2007-03-28 09:01 21,192 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-03-28 08:58 69,632 --a------ C:\WINDOWS\system32\remove.exe
2007-03-27 12:30 <DIR> d-------- C:\DOKUME~1\Dominik\Shared
2007-03-27 10:26 <DIR> d-------- C:\DOKUME~1\Dominik\DoctorWeb
2007-03-26 20:27 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\RegistrySmart
2007-03-25 19:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-03-24 12:53 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-03-10 21:32 2,321,408 --a------ C:\WINDOWS\system32\TUKernel.exe
2007-03-09 16:18 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\FastStone
2007-03-09 16:18 <DIR> d-------- C:\DOKUME~1\Dominik\.artofillusion
2007-03-09 15:41 <DIR> d-------- C:\DOKUME~1\Dominik\temp
2007-03-09 15:40 344,064 --a------ C:\WINDOWS\Ripples.scr
2007-03-09 15:40 24,576 --a------ C:\WINDOWS\RipplesRun.exe
2007-03-09 15:40 20,480 --a------ C:\WINDOWS\RipplesConfig.exe
2007-03-09 15:40 125,712 --a------ C:\WINDOWS\system32\vb6de.dll
2007-03-09 15:21 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\TuneUp Software
2007-03-09 15:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-03-04 19:41 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2007-03-04 19:40 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2007-03-04 19:36 4,629,504 --a------ C:\WINDOWS\Kaminfeuer Titanium Edition.scr
2007-03-04 19:36 34,816 --a------ C:\WINDOWS\system32\MCIDE.dll
2007-03-04 19:35 99,866 --a------ C:\WINDOWS\system32\VB5DE.dll
2007-03-04 19:35 72,704 --a------ C:\WINDOWS\ST5UNST.EXE
2007-03-04 19:35 29,696 --a------ C:\WINDOWS\system32\VB5StKit.dll
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\RecordPad
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\NCH Swift Sound
2007-03-04 19:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NCH Swift Sound
2007-03-03 22:25 <DIR> d-------- C:\DOKUME~1\Dominik\ANWEND~1\FrostWire


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-28 09:04 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-28 09:04 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-28 09:01 678 --a------ C:\rvaxo-results.log
2007-03-28 09:01 678 --a------ C:\rvaxo-results.log
2007-03-28 08:58 375 --a------ C:\firstrun.log
2007-03-28 08:58 375 --a------ C:\firstrun.log
2007-03-27 13:38 -------- d-------- C:\windows
2007-03-27 13:38 -------- d-------- C:\windows
2007-03-27 13:37 12344 --a------ C:\combofix2.txt
2007-03-27 13:37 12344 --a------ C:\combofix2.txt
2007-03-27 13:16 13111 --a------ C:\combofix3.txt
2007-03-27 13:16 13111 --a------ C:\combofix3.txt
2007-03-27 11:57 6490 --a------ C:\DOKUME~1\Dominik\ANWEND~1\wklnhst.dat
2007-03-27 09:05 108 --a------ C:\findedaten.txt
2007-03-27 09:05 108 --a------ C:\findedaten.txt
2007-03-27 08:55 -------- dr------- C:\programme
2007-03-27 08:55 -------- dr------- C:\programme
2007-03-25 13:30 -------- d-------- C:\temp
2007-03-25 13:30 -------- d-------- C:\temp
2007-03-24 15:09 389 --ahs---- C:\boot.ini
2007-03-24 15:09 389 --ahs---- C:\boot.ini
2007-03-03 20:51 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\limewire
2007-02-20 13:11 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\opera
2007-02-20 12:47 0 --a------ C:\adobedebug.txt
2007-02-20 12:47 0 --a------ C:\adobedebug.txt
2007-02-19 19:49 109568 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-02-19 19:49 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-02-13 20:45 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\fritz!
2007-02-10 20:50 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\sun
2007-02-10 12:59 -------- d-------- C:\wheelierr
2007-02-10 12:59 -------- d-------- C:\wheelierr
2007-02-03 15:54 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\adobeum
2007-02-03 12:20 -------- d-------- C:\DOKUME~1\Dominik\ANWEND~1\google
2007-02-02 20:10 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2007-02-02 20:10 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-01-30 17:56 13030 --a------ C:\pdoxusrs.net
2007-01-30 17:56 13030 --a------ C:\pdoxusrs.net
2007-01-26 17:13 0 --a------ C:\vstcdbg.log
2007-01-26 17:13 0 --a------ C:\vstcdbg.log
2007-01-25 19:31 88952 --a------ C:\WINDOWS\system32\packet.dll
2007-01-25 19:31 68480 --a------ C:\WINDOWS\system32\wanpacket.dll
2007-01-25 19:31 53299 --a------ C:\WINDOWS\system32\pthreadvc.dll
2007-01-25 19:31 240496 --a------ C:\WINDOWS\system32\wpcap.dll
2007-01-24 16:27 255848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-01-16 16:46 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-01-13 20:02 251184 -rahs---- C:\ntldr
2007-01-13 20:02 251184 -rahs---- C:\ntldr
2007-01-13 19:52 0 -rahs---- C:\msdos.sys
2007-01-13 19:52 0 -rahs---- C:\MSDOS.SYS
2007-01-13 19:52 0 -rahs---- C:\msdos.sys
2007-01-13 19:52 0 -rahs---- C:\IO.SYS
2007-01-13 19:52 0 -rahs---- C:\io.sys
2007-01-13 19:52 0 -rahs---- C:\io.sys
2007-01-13 19:52 0 --a------ C:\config.sys
2007-01-13 19:52 0 --a------ C:\CONFIG.SYS
2007-01-13 19:52 0 --a------ C:\config.sys
2007-01-13 19:52 0 --a------ C:\autoexec.bat
2007-01-13 19:52 0 --a------ C:\autoexec.bat
2007-01-13 19:52 0 --a------ C:\AUTOEXEC.BAT
2007-01-13 19:49 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-01-13 19:42 62 --ahs---- C:\DOKUME~1\Dominik\ANWEND~1\desktop.ini
2007-01-08 20:01 17408 --a------ C:\WINDOWS\system32\corpol.dll
2007-01-08 16:30 15128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"swg"="L:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"EPSON Stylus DX3800 Series (Kopie 1)"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P36 \"EPSON Stylus DX3800 Series (Kopie 1)\" /O6 \"USB001\" /M \"Stylus DX3800\""
"AVMWlanClient"="L:\\Programme\\avmwlanstick\\FRITZWLANMini.exe"
"ccApp"="\"F:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"osCheck"="\"L:\\Programme\\Norton Internet Security\\osCheck.exe\""
"WireLessMouse"="L:\\Programme\\Office Keyboard & Mouse Driver\\StartAutorun.exe MouseDrv.exe"
"WireLessKeyboard"="L:\\Programme\\Office Keyboard & Mouse Driver\\StartAutorun.exe PS2USBKbdDrv.exe"
"SunJavaUpdateSched"="\"L:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"Dit"="Dit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"Adobe Photo Downloader"="\"L:\\Programme\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""
"QuickTime Task"="\"L:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="F:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="L:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_FATIACE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O5 \"LPT1:\" /M \"Stylus DX3800\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"L:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"L:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PhotoshopElementsDeviceConnect"=dword:00000002
"CLTNetCnService"=dword:00000002
"AVM IGD CTRL Service"=dword:00000002


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Norton Internet Security Online - Vollst„ndige Systemprfung ausfhren - Dominik.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-28 9:12:44
C:\ComboFix2.txt ... 07-03-27 13:37
C:\ComboFix3.txt ... 07-03-27 13:16


--------------------------------------------------------------------------
THX THX THX THX THX THX THX THX THX THX THX THX THX THX THX THX
--------------------------------------------------------------------------


Vielen Dank,
Also die Startseite wird normal aufgerufen ohne umgeleitet zu werden und die Protection Bar leiste ist auch verschwunden im IE und das gelbe Ausrufezeichen ist auch weg...

thx...Sabina & Arnold...
__________
Ich kenne mich hier & da aus, fragt mich, wenn ihr irgendetwas wissen wollt..........
Dieser Beitrag wurde am 28.03.2007 um 13:32 Uhr von Dome editiert.
Seitenanfang Seitenende