System Alert mit "Fragezeichen" im Systray - Link zu "Spyblocked"

#1 Hallo,

auch ich bin leidgeplagt durch eine "System Alert" - Meldung mit Fragezeichen im Systray (bei mir wird bei Klick auf "Spyblocked" verwiesen).

Bisher habe ich bereits dreimal mit SmitfraudFix gearbeitet, der Alert lief sogar im abgesicherten Modus hoch! Es ist zwar zweimal gelungen, dass die Meldung verschwand, kam aber nach kurzer Zeit von alleine wieder. Jetzt bin ich doch etwas hilflos. Was kann diese Alert-Meldung eigentlich anrichten?

Ich versuche jetzt mal gem. Anleitung die Daten einzustellen... - hier der HiJack-log:




Logfile of HijackThis v1.99.1
Scan saved at 18:18:23, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\lotus\notes\ntmulti.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\tme3srv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Multimedia\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\AOL\1173116005\ee\AOLSoftware.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Multimedia\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\Bunko\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O1 - Hosts: 84.245.149.226 osglns3
O1 - Hosts: 169.254.103.206 HP000D9D21C0D4
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton\osCheck.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Multimedia\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1173116005\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Multimedia\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Startup: Verknüpfung mit THotkey.lnk = C:\Programme\TOSHIBA\TOSHIBA Applet\THotkey.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Bluetooth Monitor.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Utils\BabylonIEPI.dll/Translate.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165399964237
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0619150B-3DE3-4094-A8FA-F6CC5CE7F80E}: NameServer = 10.130.52.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0F25AD-D9CD-4853-A21B-8AA4AEF1DBF2}: NameServer = 10.130.52.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{53B7E6FC-A45E-4CA8-B8C3-BCA9FD5621D8}: NameServer = 10.130.52.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6661A09A-693D-465B-878D-00EB7EBDC190}: NameServer = 10.130.52.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D47CEBA-5659-4961-8CC5-9709046550A9}: NameServer = 205.188.146.145
O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\lotus\notes\ntmulti.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TME3SRV - IEC - C:\Programme\TOSHIBA\TOSHIBA Applet\tme3srv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE




Nach Durchlauf von CleanUp und ComboFix gab es dann diesen Auszug (SpyAlert ist momentan überraschend NICHT mehr aktiv):



"Bunko" - 07-04-24 19:34:57 Service Pack 2
ComboFix 07-04-24.5V - Running from: "C:\Programme\AOL 9.0\download\"


((((((((((((((((((((((((((((((( Files Created from 2007-03-24 to 2007-04-24 ))))))))))))))))))))))))))))))))))


2007-04-24 12:53 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\Viewpoint
2007-04-24 12:51 <DIR> d-------- C:\Programme\Viewpoint
2007-04-24 12:27 <DIR> d-------- C:\kav
2007-04-24 11:26 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-04-24 00:51 3,402 --a------ C:\WINDOWS\system32\tmp.reg
2007-04-23 23:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GIS
2007-04-23 23:42 <DIR> d-------- C:\Programme\mg11
2007-04-23 23:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\mapserv
2007-04-23 23:28 <DIR> d-------- C:\Programme\Totalcmd653
2007-04-23 22:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-23 15:41 <DIR> d--h----- C:\BJPrinter
2007-04-21 17:53 98,304 --a------ C:\WINDOWS\system32\TCtrlCommon.dll
2007-04-21 16:43 49,152 --a------ C:\WINDOWS\system32\TosBthSupport.dll
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\g30lv1\ANWEND~1\Intel
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\Intel
2007-04-21 14:48 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Intel
2007-04-21 14:47 21,419 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-04-21 14:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
2007-04-21 14:45 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2007-04-21 14:45 2,732,032 -ra------ C:\WINDOWS\system32\Netw2r32.dll
2007-04-21 14:45 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-18 04:33 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-04-14 18:58 <DIR> d-------- C:\Programme\SlySoft
2007-04-12 17:02 <DIR> d-------- C:\Programme\foobar2000
2007-04-12 17:02 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\foobar2000
2007-04-12 16:34 40,960 --a------ C:\WINDOWS\system32\amshellext.dll
2007-04-12 16:34 <DIR> d-------- C:\Programme\4Musics OGG to MP3 Converter
2007-04-08 16:08 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\Help
2007-04-08 16:06 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\Corel
2007-04-03 15:41 <DIR> d-------- C:\DOKUME~1\g30lv1\ANWEND~1\Help
2007-04-03 14:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Vorlagen
2007-04-02 17:57 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\Mp3tag
2007-04-02 17:56 <DIR> d-------- C:\Programme\Mp3tag
2007-04-02 17:55 <DIR> d-------- C:\Programme\MP3-Tag-Editor
2007-03-30 12:02 <DIR> d-------- C:\DOKUME~1\g30lv1\ANWEND~1\Nokia
2007-03-30 12:02 <DIR> d-------- C:\DOKUME~1\g30lv1\ANWEND~1\DataLayer
2007-03-29 18:21 <DIR> d-------- C:\DOKUME~1\Bunko\ANWEND~1\URSoft
2007-03-29 18:20 <DIR> d-------- C:\Programme\Your Uninstaller 2006
2007-03-26 15:42 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-24 19:24 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-04-23 23:42 -------- d--h----- C:\Programme\installshield installation information
2007-04-23 23:10 -------- d-------- C:\Programme\symantec
2007-04-23 09:05 10 --a------ C:\WINDOWS\popcinfo.dat
2007-04-21 17:56 12032 --a------ C:\WINDOWS\system32\drivers\Netdevio.sys
2007-04-21 17:53 7168 --a-s---- C:\WINDOWS\system32\rcohty.dll
2007-04-21 17:53 -------- d-------- C:\Programme\toshiba
2007-04-21 14:47 -------- d-------- C:\Programme\intel
2007-04-17 05:57 -------- d-------- C:\Programme\zylom games
2007-04-14 21:44 -------- d-------- C:\Programme\multimedia
2007-04-10 05:05 -------- d-------- C:\Programme\aol 9.0
2007-04-03 15:00 -------- d-------- C:\Programme\Gemeinsame Dateien\odbc
2007-04-03 14:39 -------- d-------- C:\Programme\norton
2007-03-29 20:12 -------- d-------- C:\Programme\winfax
2007-03-29 18:29 -------- d-------- C:\DOKUME~1\Bunko\ANWEND~1\zylom
2007-03-26 15:46 76410 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 15:46 419544 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-23 11:33 -------- d-a------ C:\Programme\canon
2007-03-23 10:38 -------- d--h----- C:\Programme\canonbj
2007-03-19 01:00 -------- d-------- C:\DOKUME~1\Bunko\ANWEND~1\babylon
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-09 18:41 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2007-03-09 18:12 -------- d-------- C:\Programme\hp
2007-03-09 18:12 -------- d-------- C:\Programme\hewlett-packard
2007-03-09 18:12 -------- d-------- C:\Programme\Gemeinsame Dateien\mobipocket shared
2007-03-09 18:12 -------- d-------- C:\Programme\babylon
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-03 14:01 -------- d-------- C:\Programme\directx
2007-02-28 11:01 -------- d-------- C:\DOKUME~1\Bunko\ANWEND~1\nokia
2007-02-28 11:01 -------- d-------- C:\DOKUME~1\Bunko\ANWEND~1\datalayer
2007-02-22 14:28 51716 --a------ C:\WINDOWS\system32\pdf995mon.dll
2007-02-22 14:28 118784 --a------ C:\WINDOWS\system32\pdfmona.dll
2007-02-18 19:57 335 --a------ C:\WINDOWS\nsreg.dat
2007-02-17 00:36 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-01-24 16:27 255848 --a------ C:\WINDOWS\system32\xactengine2_6.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75} C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"osCheck"="\"C:\\Programme\\Norton\\osCheck.exe\""
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"Babylon Client"="C:\\Programme\\Babylon\\Babylon.exe -AutoStart"
"DataLayer"="C:\\Programme\\Gemeinsame Dateien\\PCSuite\\DataLayer\\DataLayer.exe"
"PCSuiteTrayApplication"="C:\\Programme\\Multimedia\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1173116005\\ee\\AOLSoftware.exe"
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"THotkey"="C:\\Programme\\Toshiba\\Toshiba Applet\\thotkey.exe"
"TFncKy"="TFncKy.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"PcSync"="C:\\Programme\\Multimedia\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Acrobat\\AdobeUpdateManager.exe\" AcPro7_0_8 -reboot 1"
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{b23dc537-3e13-44c7-bf67-d8405eb377f7}"="bedstead"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AGRSMMSG"
"hkey"="HKLM"
"command"="AGRSMMSG.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Connect Update Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AutoUpdateSrv"
"hkey"="HKLM"
"command"="\"C:\\Programme\\T-Mobile\\Communication Center\\AutoUpdateSrv.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DockMsgFrom]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DockMsgFrom"
"hkey"="HKLM"
"command"="C:\\Programme\\Toshiba\\Toshiba Applet\\DockMsgFrom.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mobipocket Reader Notifications]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="readernotify"
"hkey"="HKCU"
"command"="C:\\Programme\\Mobipocket.com\\Mobipocket Reader\\readernotify.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PadExe"
"hkey"="HKLM"
"command"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SmoothView"
"hkey"="HKLM"
"command"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Smax4"
"hkey"="HKLM"
"command"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SMax4PNP"
"hkey"="HKLM"
"command"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SynTPEnh"
"hkey"="HKLM"
"command"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SynTPLpr"
"hkey"="HKLM"
"command"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFncKy]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TFncKy"
"hkey"="HKLM"
"command"="TFncKy.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="thotkey"
"hkey"="HKLM"
"command"="C:\\Programme\\Toshiba\\Toshiba Applet\\thotkey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TMEPROP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TMEPROP"
"hkey"="HKLM"
"command"="C:\\Programme\\Toshiba\\Toshiba Applet\\TMEPROP.exe -S"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="toscdspd"
"hkey"="HKCU"
"command"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TPSMain"
"hkey"="HKLM"
"command"="TPSMain.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -u"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -u"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton Internet Security - Vollst„ndige Systempr�fung ausf�hren - Bunko.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-24 19:41:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-24 19:42:12
C:\ComboFix-quarantined-files.txt ... 07-04-24 19:42




DAZU dann die DATFIND-Daten:



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\WINDOWS\system32

24.04.2007 18:55 1.158 wpa.dbl
24.04.2007 16:01 0 tmp.txt
24.04.2007 16:01 3.402 tmp.reg
21.04.2007 17:53 7.168 rcohty.dll
21.04.2007 16:34 308 results.txt
18.04.2007 11:11 16.832 amcompat.tlb
18.04.2007 11:11 23.392 nscompat.tlb
04.04.2007 11:20 306.008 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
02.04.2007 14:21 428.032 swreg.exe
26.03.2007 15:46 404.302 perfh009.dat
26.03.2007 15:46 63.522 perfc009.dat
26.03.2007 15:46 419.544 perfh007.dat
26.03.2007 15:46 76.410 perfc007.dat
26.03.2007 15:46 974.672 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 19:19 1.476.992 LegitCheckControl.dll
15.03.2007 19:17 337.280 WgaTray.exe
15.03.2007 19:16 236.928 WgaLogon.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
22.02.2007 14:28 118.784 pdfmona.dll
22.02.2007 14:28 51.716 pdf995mon.dll
18.02.2007 20:01 2.780 qtplugin.log
18.02.2007 20:00 157.696 rmoc3260.dll
18.02.2007 20:00 25.088 prefscpl.cpl
18.02.2007 20:00 5.632 pndx5032.dll
18.02.2007 20:00 6.656 pndx5016.dll
18.02.2007 20:00 278.528 pncrt.dll
18.02.2007 04:10 122.142 TZLog.log
17.02.2007 00:36 48.776 S32EVNT1.DLL
16.02.2007 00:44 6 reboot.txt
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
24.01.2007 16:27 255.848 xactengine2_6.dll
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 27.136 jsproxy.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\

24.04.2007 19:50 0 sys.txt
24.04.2007 19:50 444 down.txt
24.04.2007 19:50 117 tmp.txt
24.04.2007 19:49 14.709 system.txt
24.04.2007 19:49 133 systemtemp.txt
24.04.2007 19:49 110.290 system32.txt
24.04.2007 19:42 16.487 ComboFix.txt
24.04.2007 19:42 271 ComboFix-quarantined-files.txt
24.04.2007 19:25 9.704 VETlog.txt
24.04.2007 19:25 99.063 VETlog.dmp
24.04.2007 18:54 536.330.240 hiberfil.sys
24.04.2007 18:54 805.306.368 pagefile.sys
24.04.2007 16:05 3.669 rapport.txt
05.12.2006 11:28 10.012 h6.sys
05.12.2006 10:31 10.008 h8.sy2
23.11.2006 17:53 23.040 stub.log
03.08.2006 23:14 211 boot.ini
03.01.2006 13:44 287 readme.txt
21.12.2005 21:19 34 hcwclear.txt
07.02.2005 11:37 237 SWSTAMP.TXT
04.08.2004 15:00 4.952 bootfont.bin
04.08.2004 15:00 47.564 NTDETECT.COM
04.08.2004 15:00 251.184 ntldr
23 Datei(en) 1.342.239.024 Bytes
0 Verzeichnis(se), 21.343.088.640 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.03.2007 16:46 5.085 swflash.inf
08.08.2006 11:45 576 kavwebscan.inf
26.05.2005 05:19 293 muweb.inf
29.01.2005 16:35 65 desktop.ini
4 Datei(en) 6.019 Bytes
0 Verzeichnis(se), 21.343.092.736 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\WINDOWS\temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\WINDOWS

24.04.2007 19:25 1.142.046 setupapi.log
24.04.2007 19:00 729 win.ini
24.04.2007 18:55 159 wiadebug.log
24.04.2007 18:55 2.002.656 WindowsUpdate.log
24.04.2007 18:55 50 wiaservc.log
24.04.2007 18:54 0 0.log
24.04.2007 18:54 2.048 bootstat.dat
24.04.2007 18:53 32.598 SchedLgU.Txt
24.04.2007 16:04 222.803 setupact.log
24.04.2007 15:58 2.279.312 ntbtlog.txt
23.04.2007 23:34 325 WINCMD.INI
23.04.2007 09:05 10 popcinfo.dat
21.04.2007 17:24 2.097 chipset.log
21.04.2007 16:44 32 setup.log
21.04.2007 15:37 14.986 DPINST.LOG
21.04.2007 15:36 32.001 KB888113.log
21.04.2007 15:35 32.138 KB887472.log
21.04.2007 15:34 16.320 KB886185.log
21.04.2007 15:33 35.479 KB885250.log
21.04.2007 15:32 289.694 comsetup.log
21.04.2007 15:32 1.076.745 iis6.log
21.04.2007 15:32 178.291 ntdtcsetup.log
21.04.2007 15:32 403.247 tsoc.log
21.04.2007 15:32 41.724 tabletoc.log
21.04.2007 15:32 1.374 imsins.log
21.04.2007 15:32 47.587 ocmsn.log
21.04.2007 15:32 4.836 KB873333.log
21.04.2007 15:31 442.922 ocgen.log
21.04.2007 15:31 60.170 MedCtrOC.log
21.04.2007 15:31 148.401 netfxocm.log
21.04.2007 15:31 43.336 msgsocm.log
21.04.2007 15:31 835.334 FaxSetup.log
21.04.2007 15:31 285.762 msmqinst.log
21.04.2007 15:31 1.374 imsins.BAK
21.04.2007 15:31 5.125 KB867282.log
21.04.2007 15:29 4.690 KB890047.log
21.04.2007 15:28 4.690 KB890175.log
21.04.2007 15:26 27.262 KB891781.log
21.04.2007 15:25 9.772 KB889673.log
21.04.2007 12:39 1.409 QTFont.for
21.04.2007 12:39 54.156 QTFont.qfn
21.04.2007 03:52 86.528 catchme.exe
19.04.2007 14:10 118.145 wmsetup.log
18.04.2007 13:13 116 NeroDigital.ini
18.04.2007 11:14 37.202 spupdsvc.log
18.04.2007 04:35 3.428 wmsetup10.log
18.04.2007 04:35 14.616 KB926239.log
18.04.2007 04:34 13.302 MSCompPackV1.log
18.04.2007 04:34 40.305 wmp11.log
18.04.2007 04:33 63.398 updspapi.log
18.04.2007 04:32 59.737 WMFDist11.log
18.04.2007 04:30 18.276 Wudf01000Inst.log
12.04.2007 04:47 15.200 KB931784.log
12.04.2007 04:47 13.095 KB931261.log
12.04.2007 03:17 13.345 KB930178.log
12.04.2007 03:17 15.175 KB932168.log
04.04.2007 01:48 12.509 KB925902.log
04.04.2007 01:43 0 setuperr.log
04.04.2007 00:48 49 wpd99.drv
23.03.2007 11:33 25.502 WgaNotify.log
15.03.2007 16:04 10.036 KB929399.log
15.03.2007 16:01 12.921 KB929338.log
08.03.2007 15:43 7.680 Thumbs.db
08.03.2007 00:02 474 nsw.log
06.03.2007 23:33 7.618 KB885295.log
03.03.2007 14:03 86.131 DirectX.log
28.02.2007 11:21 13.022 ModemLog_Nokia 6230i IrDA.txt
22.02.2007 14:29 28 pdf995.ini
21.02.2007 12:43 849 orun32.ini
20.02.2007 10:53 2.554 OEWABLog.txt
18.02.2007 20:02 764 aolback.exe.lnk
18.02.2007 19:57 335 nsreg.dat
18.02.2007 04:12 23.539 KB927779.log
18.02.2007 04:12 20.526 KB927802.log
18.02.2007 04:11 20.307 KB928255.log
18.02.2007 04:11 12.229 KB923723.log
18.02.2007 04:10 16.707 KB924667.log
18.02.2007 04:10 29.212 KB931836.log
18.02.2007 04:09 18.654 KB926436.log
18.02.2007 04:09 14.168 KB928090-IE7.log
18.02.2007 04:07 12.969 KB918118.log
18.02.2007 04:07 5.544 KB929969.log
18.02.2007 04:02 10.522 KB928843.log
17.02.2007 02:12 8.921 wmp11Uninst.log
16.02.2007 00:26 4.576 hpdj5600.ini
16.02.2007 00:26 29.066 hpdj5600.his
16.02.2007 00:22 2.253 avmadd321.log
16.02.2007 00:22 1.109 avmadd32.log
01.01.2007 07:56 545 LHA.PIF



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20E6-05EB

Verzeichnis von C:\DOKUME~1\Bunko\LOKALE~1\Temp



Soweit also meine Daten. Ist da noch etwas zu erkennen? Mittlerweile hat sich der System Alert nach einem Aufruf des IE wieder eingeklinkt....
Danke für die Hilfe -XBunko

#2 Das ist deine Problemdatei c:\windows\system32\rcohty.dll versuche diese Bitte umzubenennen, falls noetig im abgesicherten Modus.

Teste die Datei bitte bei Jotti VT?
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Das ist deine Problemdatei c:\windows\system32\rcohty.dll versuche diese Bitte umzubenennen, falls noetig im abgesicherten Modus.

Teste die Datei bitte bei [url="http://virusscan.Jotti.org/"]Jotti[/url] VT?

Scheint ein Treffer zu sein. Sobald ich die Datei umbenannt hatte, blinkt das Fragezeichen in anderer Farbe und statt des "Verbotsschilds" taucht ein weißer Windowsrahmen auf. Jotti meldet u.a.

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
AVG Antivirus Generic3.VEU gefunden
NOD32 Win32/Hoax.Renos.NAX application gefunden

wie gehe ich jetzt damit um? Einfach löschen?

Gruß, XBunko

#4 Ja, es kann aber sein, das du die Datei ersteinmal umbenennen und neu starten musst, bevor du sie loeschen kannst.
__________
MfG Ralf
SEO-Spam Hunter

#5

Zitat

raman postete
Ja, es kann aber sein, das du die Datei ersteinmal umbenennen und neu starten musst, bevor du sie loeschen kannst.

Hallo,

habe die Datei über Norton Internet Security in Quarantäne gestellt, umbenennen ging problemlos, der Alert ist zur Zeit weg. Ich danke für die tolle Hilfe, falls noch was "zuckt", melde ich mich wieder.

Gruß, Xbunko

#6 Hallo all ihr Leidensgenossen

Ich habe dieses verf... alert dingens auch, nur leider Versteh ich weder was von Regestrie noch solch andres gedöns.
Hier meine Bitte. Kann mir das einer erklären wie ich das wegbekomme, und erklärt es bitte so als wär ich ein Fleischer der das erste mal einen Rechner bedient (nagut ein 2.mal)

Ich hab mich hier mal durchgelesen und nach einigen Win syst 32 dll dateien gesucht auf dem rechner nur nix gefunden, hab 40 mal spybot drüberlaufen lassen.


Ich fänds klasse wenn sich jemand erbarmen könnte


besten Dank Laudi

#7 Bitte aus diesem Thread http://board.protecus.de/t23188.htm die punkte 1-3 abarbeiten, und die logs posten.
__________
MfG Ralf
SEO-Spam Hunter

#8 Und das ist das was ich ja versucht habe zu erklären!!!!!!
Was sind logs?????????????? ich versteh so eine sprache nicht
da sind 50 links angezeigt wo wahrscheinlich genau so ein deutsch drin steht was ich net verstehe.

Für mich muss das so klingen. du suchst die und die datei tust die da und da hin kopierst da was rein oder raus löschst irgendwelchen mist und basta

#9 <g> Dann mal anders. Nutze das: http://siri.geekstogo.com/SmitfraudFix_De.php
nutze combofix: http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe starte die Datei, folge den Anweisungen. Zuletzt wird ein Fenster geoeffnet mit den Ergebnissen, die die Programme erstellt haben. Fuege diese bitte in eine Antwort von dir ein.
__________
MfG Ralf
SEO-Spam Hunter

#10 Na das versteht doch mal jemand, danke

SmitFraudFix v2.186

Scan done at 10:16:56,40, 23.05.2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\indwvm.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Andi


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Andi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Andi\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{25b7d2fd-4f71-46d1-801a-7de323e4ec82}"="equiparant"

[HKEY_CLASSES_ROOT\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com Gigabit LOM (3C940) - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

So jetzt von Combo dingens

"Andi" - 2007-05-23 10:19:12 Service Pack 2
ComboFix 07-05.21.6.V - Running from: "C:\Programme\Mozilla Firefox\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-23 ))))))))))))))))))))))))))))))))))


2007-05-23 10:16 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-05-23 10:16 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-05-23 10:16 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-05-23 10:16 1,724 --a------ C:\WINDOWS\system32\tmp.reg
2007-05-22 16:38 <DIR> d-------- C:\avenger
2007-05-22 14:42 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-05-22 14:42 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-05-22 14:42 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-05-22 14:42 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-05-22 14:42 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-05-22 14:42 <DIR> d-------- C:\Programme\Spyware Doctor
2007-05-22 14:42 <DIR> d-------- C:\DOKUME~1\Andi\ANWEND~1\PC Tools
2007-05-22 13:39 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-05-07 13:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-04-30 09:44 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-04-30 09:43 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-04-30 09:43 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-04-30 09:43 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-04-30 09:43 <DIR> d-------- C:\Programme\Picasa2
2007-04-30 09:43 <DIR> d-------- C:\DOKUME~1\Andi\ANWEND~1\Google
2007-04-30 09:41 <DIR> d-------- C:\Programme\Google
2007-04-30 09:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-22 20:20:02 -------- d-----w C:\Programme\HLSW
2007-05-22 17:30:45 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-05-22 17:30:41 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-22 15:08:48 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\FRITZ!
2007-05-22 11:40:31 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-05-22 11:28:40 -------- d-----w C:\Programme\ICQToolbar
2007-05-20 17:05:59 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\Xfire
2007-05-20 16:50:31 -------- d-s---w C:\Programme\Xfire
2007-05-10 14:14:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-10 13:58:17 7,168 --s-a-w C:\WINDOWS\system32\indwvm.dll
2007-05-05 22:17:18 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\Hamachi
2007-04-19 09:07:49 43,584 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-19 09:07:49 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-07 23:42:41 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-04-07 23:24:09 -------- d-----w C:\Programme\THQ
2007-04-03 19:05:19 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-03-28 19:59:33 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-03-26 19:08:29 -------- d-----w C:\Programme\Electronic Arts
2007-03-25 21:52:16 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\temp
2007-03-25 08:10:05 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 08:10:05 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-22 11:11:25 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\Command & Conquer 3 Tiberium Wars Demo
2007-03-20 21:12:33 -------- d-----w C:\Programme\ICQLite
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-16 14:29:19 -------- d-----w C:\Programme\Dr. Hardware 2006
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-08 11:52:38 -------- d--h--r C:\DOKUME~1\Andi\ANWEND~1\SecuROM
2007-03-08 11:49:33 -------- d-----w C:\Programme\Ubisoft
2007-03-07 11:49:46 -------- d-----w C:\DOKUME~1\Andi\ANWEND~1\Real
2007-03-07 11:47:04 -------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-03-07 11:47:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-03-07 11:46:50 -------- d-----w C:\Programme\Real
2007-02-14 23:51:31 1,152 ----a-w C:\WINDOWS\mozver.dat
2007-02-14 21:17:13 0 ----a-w C:\WINDOWS\nsreg.dat
2007-02-14 12:15:44 0 --sha-r C:\MSDOS.SYS
2007-02-14 12:15:44 0 --sha-r C:\IO.SYS
2007-02-14 12:15:44 0 ----a-w C:\CONFIG.SYS
2007-02-14 12:15:44 0 ----a-w C:\AUTOEXEC.BAT
2007-02-14 12:13:38 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\Programme\ICQToolbar\toolbaru.dll [2006-10-10 11:18]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 02:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2007-04-30 09:41]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll [2007-04-30 09:41]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-21 06:09]
"nwiz"="nwiz.exe" [2006-06-21 06:10 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-06-21 06:10]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-19 11:07]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-27 20:12]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-07 13:46]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [2004-10-13 18:24]
"Steam"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{25b7d2fd-4f71-46d1-801a-7de323e4ec82}"="C:\WINDOWS\system32\indwvm.dll" [2007-05-10 15:58]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]

*Newly Created Service* -PROCEXP90

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-23 10:20:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-23 10:20:53

--- E O F ---


Ich hoffe ihr könnt damit was anfangen denn ich kann es nicht

Besten dank im Vorraus

#11 Dein Problem ist C:\WINDOWS\system32\indwvm.dll Diese Datei kann smitfraudfix loeschen, wenn man den Punkt Reinigung aus der smitfraudfix Anleitung waehlt
__________
MfG Ralf
SEO-Spam Hunter

#12 SmitFraudFix v2.186

Scan done at 13:07:32,90, 23.05.2007
Run from C:\Dokumente und Einstellungen\Andi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{25b7d2fd-4f71-46d1-801a-7de323e4ec82}"="equiparant"

[HKEY_CLASSES_ROOT\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32]
@="C:\WINDOWS\system32\indwvm.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\indwvm.dll -> Hoax.Win32.Renos.gen.n
C:\WINDOWS\system32\indwvm.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com Gigabit LOM (3C940) - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{365055B9-6D7B-4CB3-8DD9-9E309DD6D0E4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Hat der das dingens jetzt gelöscht?

#13 Ja, die Datei ist geloescht: C:\WINDOWS\system32\indwvm.dll -> Deleted

Nun sollte bei dir auch nichts mehr angezeigt werden!?
__________
MfG Ralf
SEO-Spam Hunter

#14 Jo super so einfach das ist doch super hab dank für deine Hilfe,

besten Gruss