ständiges Öffnen von Werbefenstern im IE

#0
26.06.2007, 22:30
...neu hier

Beiträge: 6
#1 Hallo, bei mir öffnen sich ständig Werbefenster im IE, obwohl ich mit firefox arbeite und den IE überhaupt nicht benutze. Kann mir jemand helfen? Bin für jeden Tipp dankbar!!!!

So, der Reihe nach, erstmal Combofix:

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
"***" - 2007-06-26 22:22:45 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 22:07 <DIR> d-------- C:\Programme\Security Task Manager
2007-06-26 22:07 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-06-26 21:55 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-06-26 21:55 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Simply Super Software
2007-06-26 21:40 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-06-26 21:40 3,440 --a------ C:\WINDOWS\undo.reg
2007-06-26 21:40 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-06-26 21:40 <DIR> d-------- C:\Programme\Trojan Remover
2007-06-26 20:46 <DIR> d-------- C:\Programme\Yahoo!
2007-06-26 20:46 <DIR> d-------- C:\Programme\CCleaner
2007-06-23 20:25 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 22:52 <DIR> d-------- C:\Programme\Hijack This
2007-06-22 22:51 <DIR> d-------- C:\download
2007-06-22 09:21 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-06-21 23:38 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-21 23:38 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-21 23:37 37,920 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-21 23:37 2,354,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-21 23:37 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-06-21 23:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-06-13 13:53 <DIR> d-------- C:\Programme\FreeMind
2007-06-13 13:53 <DIR> d-------- C:\DOKUME~1\***\.freemind
2007-06-13 13:34 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\OpenOffice.org2
2007-06-13 13:32 <DIR> d-------- C:\Programme\OpenOffice.org 2.2
2007-06-01 11:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 19:48:49 -------- d-----w C:\DOKUME~1\***\ANWEND~1\FRITZ!
2007-06-26 13:35:33 53,060 ----a-w C:\DOKUME~1\***\ANWEND~1\wklnhst.dat
2007-06-24 17:18:11 65,736 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-24 17:18:11 394,922 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-19 19:25:27 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-30 16:13:55 -------- d-----w C:\Programme\Mozilla Firefox 2 Beta 1
2007-05-17 11:30:42 -------- d-----w C:\Programme\IKEA HomePlanner
2007-05-17 11:30:06 -------- d-----w C:\Programme\Google
2007-05-17 11:15:00 -------- d-----w C:\DOKUME~1\***\ANWEND~1\AdobeUM
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-29 22:10:44 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 19:12:50 69,568 ----a-w C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2005-01-02 10:31:16 8 --sha-r C:\WINDOWS\system32\571AC95229.sys
2006-08-22 23:48:11 56 --sh--r C:\WINDOWS\system32\CCFA0E22E0.sys
2006-08-22 23:48:11 6,266 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 10:28]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{9527D42F-D666-11D3-B8DD-00600838CD5F}=C:\WINDOWS\system32\IETie.dll [2003-05-15 21:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 C:\WINDOWS\system32\bthprops.cpl]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 12:27]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 12:31]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2004-08-06 15:04]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2004-11-11 16:13]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2004-07-26 15:52]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2004-11-23 17:01]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 15:28]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 14:38 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 17:25]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 17:24]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-21 22:05]
"AVManager"="C:\Programme\Wistron\AVManager\AVManager.exe" [2004-11-26 19:49]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 16:54 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"MMTray"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 13:26]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-05 20:53]
"FonTipp"="C:\Programme\FonTipp\start.exe" [2006-10-30 18:39]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:26]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TrojanScanner"="C:\Programme\Trojan Remover\Trjscan.exe" [2007-06-26 21:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-03-19 17:31]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-03-19 17:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 22:25:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = C:\Programme\Launch Manager\CtrlVol.exe?????P???X??????|x??|????q??|?j?wQj?w????????,??? ???????????????`??????|????????l?????@????????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s???????w??@?N'?s\???=5@?h??????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]


Completion time: 2007-06-26 22:27:14
C:\ComboFix-quarantined-files.txt ... 2007-06-26 22:26
C:\ComboFix2.txt ... 2007-06-26 21:29
C:\ComboFix3.txt ... 2007-06-23 21:03

--- E O F ---



jetzt Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 22:31:37, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FonTipp\FonTipp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
C:\Programme\GhostSurf\GhostSurf.exe
C:\Programme\Security Task Manager\taskman.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijack This\hjt1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FonTipp] C:\Programme\FonTipp\start.exe min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Allow personal info to reach this site - file://C:\Programme\GhostSurf\info.allow.html
O8 - Extra context menu item: Allow popups on this site - file://C:\Programme\GhostSurf\popup.allow.html
O8 - Extra context menu item: Allow this advertisement - file://C:\Programme\GhostSurf\menu.allowimg.html
O8 - Extra context menu item: Block personal info from this site - file://C:\Programme\GhostSurf\info.block.html
O8 - Extra context menu item: Block popups on this site - file://C:\Programme\GhostSurf\popup.block.html
O8 - Extra context menu item: Block this advertisement - file://C:\Programme\GhostSurf\menu.blockimg.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf\LaunchPCC.exe
O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf\LaunchPCC.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156282100602
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

und jetzt datfind:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\WINDOWS\system32

26.06.2007 21:51 2.206 wpa.dbl
26.06.2007 21:41 35.440 sschk.trb
26.06.2007 21:41 360.016 trupd.trb
26.06.2007 21:40 431.696 trjscan.trb
24.06.2007 19:18 377.174 perfh009.dat
24.06.2007 19:18 52.378 perfc009.dat
24.06.2007 19:18 394.922 perfh007.dat
24.06.2007 19:18 65.736 perfc007.dat
24.06.2007 19:18 898.910 PerfStringBackup.INI
21.06.2007 23:25 4.196 jupdate-1.6.0_01-b06.log
19.06.2007 12:54 1.876.544 rmt.trb
13.06.2007 20:02 240.736 FNTCACHE.DAT
06.06.2007 08:38 15.747.032 MRT.exe
05.06.2007 17:56 1.020.480 rmvtrjan.trb
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
30.04.2007 00:10 4.212 zllictbl.dat
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 124.928 advpack.dll
25.04.2007 09:41 132.608 extmgr.dll
25.04.2007 09:41 230.400 ieaksie.dll
25.04.2007 09:41 153.088 ieakeng.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 09:34 161.792 ieakui.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:44 34.136 wucltui.dll.mui

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

26.06.2007 22:34 105.389 datfind.txt
26.06.2007 22:31 16.384 ~DFA800.tmp
26.06.2007 22:30 8.021 log.txt
26.06.2007 21:51 16.384 ~DF2F45.tmp
26.06.2007 21:51 49.152 ~DFE978.tmp
5 Datei(en) 195.330 Bytes
0 Verzeichnis(se), 27.544.829.952 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\WINDOWS

26.06.2007 21:50 4.236 ModemLog_Creatix 2.0 AC'97 Modem.txt
26.06.2007 21:50 1.152.005 WindowsUpdate.log
26.06.2007 21:50 0 0.log
26.06.2007 21:50 2.048 bootstat.dat
19.06.2007 21:26 54.156 QTFont.qfn
13.06.2007 21:42 151 PhotoSnapViewer.INI
08.06.2007 20:24 175 cdPlayer.ini
05.06.2007 05:24 87.552 catchme.exe
04.04.2007 11:55 316.640 WMSysPr9.prx


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\WINDOWS

26.06.2007 21:50 4.236 ModemLog_Creatix 2.0 AC'97 Modem.txt
26.06.2007 21:50 1.152.005 WindowsUpdate.log
26.06.2007 21:50 0 0.log
26.06.2007 21:50 2.048 bootstat.dat
19.06.2007 21:26 54.156 QTFont.qfn
13.06.2007 21:42 151 PhotoSnapViewer.INI
08.06.2007 20:24 175 cdPlayer.ini
05.06.2007 05:24 87.552 catchme.exe
04.04.2007 11:55 316.640 WMSysPr9.prx


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5015-6106

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf


Bin für jede Hilfe dankbar! Herzlich, Findus.
Dieser Beitrag wurde am 26.06.2007 um 22:47 Uhr von findus42 editiert.
Seitenanfang Seitenende
27.06.2007, 08:58
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte poste noch den Inhalt des Hostfiles:

Lade die Datei:
C:\WINDOWS\system32\drivers\etc\hosts in einen Texteditor und poste den
Inhalt hier, eventuell musst Du den Pfad zu Deinem Windowsordner anpassen...

Chris
Seitenanfang Seitenende
27.06.2007, 09:56
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Chris,

ich kenne mich leider nicht so aus, dies habe ich gefunden - ist es das, was du meinst?

Viele Grüße und DANKE fürs Nachschauen!

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


jetzt ist gestern abend noch ein Problem aufgetreten, der Computer hat sich einfach von selbst ausgeschaltet und ist dann wieder hochgefahren???? Was kann das bedeuten????

Findus
Dieser Beitrag wurde am 27.06.2007 um 10:01 Uhr von findus42 editiert.
Seitenanfang Seitenende
27.06.2007, 10:16
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

nichts auffälliges zu erkennen,
was für Werbepopups kommen (screenshot)?

Ich denke das eine der installierten Apps das verursacht....

Chris
Seitenanfang Seitenende
27.06.2007, 10:41
Member
Avatar Chris4You

Beiträge: 694
#5 Hi,

dann probieren wir mal was aus:
Update Avira, stelle es wie hier beschrieben ein und scanne den Arbeitsplatz,
Funde in Quarantäne verschieben lassen und das Log posten.
http://board.protecus.de/t23979.htm

Noch einmal ein HJ-Log, vorher die HJ-Exe auf Test.com umbenennen.
Poste das Log!

Als letztes suche nach Rootkits:
blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

Chris
Seitenanfang Seitenende
27.06.2007, 15:03
...neu hier

Themenstarter

Beiträge: 6
#6 Hallo Chris, hier ist das Ergebnis von Antivir und der neue Hijack. Das Ergebnis der Rootkitsuche kommt später.



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 27. Juni 2007 14:01

Es wird nach 847581 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: NAME-01CFAA9CBF

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 11:53:47
ANTIVIR2.VDF : 6.39.0.51 779776 Bytes 25.06.2007 11:53:47
ANTIVIR3.VDF : 6.39.0.65 110592 Bytes 27.06.2007 11:53:47
AVEWIN32.DLL : 7.4.0.34 2478592 Bytes 27.06.2007 11:53:48
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.12 360488 Bytes 27.06.2007 11:53:48
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 27. Juni 2007 14:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '38448' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostSurf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FritzDsl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fontipp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mm_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EOUWiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OProtSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '62' Prozesse mit '62' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\Thunderbird\Profiles\e1ug2vfb.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001e01c72901$4d6884f0$0407a8c0@pc>][From: "Sparkasse" <accounts-0956@sparkasse.de>][Subject: Sparkasse: obligatorisch zu lesen (Ref: 0764)]1872.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.1
--> Mailbox_[Message-ID: <001e01c72903$03bc393a$40d8fea9@win2006>][From: "Sparkasse" <Unterstutzung-ref-708864@sparkasse][Subject: Sparkasse informiert Sie [Id: 7421]]1874.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
--> Mailbox_[Message-ID: <001d01c72937$3653f3f0$1b360342@ann>][From: "Sparkasse, 2006" <custUnterstutzung_974555.cus][Subject: Wichtige Information [Id: 217]]1892.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.1
--> Mailbox_[Message-ID: <001801c73a2e$2251a592$180afea9@1-296553ac7a744][From: "Sparkasse Online-Banking GmbH. 2007" <customer][Subject: Die Mittteilung uber die Modernisierung. ]2460.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.1
--> Mailbox_[Message-ID: <002201c7592c$393ea1ac$5863c90c@window04>][From: "Sparkasse Finanzportal GmbH. '07" <customers_s][Subject: Information uber die online - Banking. ]3132.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
[1] Archivtyp: MIME
--> file0.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
--> Mailbox_[Message-ID: <002201c7592c$393ea1ac$5863c90c@window04>][From: "Sparkasse Finanzportal GmbH. '07" <customers_s][Subject: Information uber die online - Banking. ]3134.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
[1] Archivtyp: MIME
--> file0.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
--> Mailbox_[Message-ID: <002201c7592c$393ea1ac$5863c90c@window04>][From: "Sparkasse Finanzportal GmbH. '07" <customers_s][Subject: Information uber die online - Banking. ]3136.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
[1] Archivtyp: MIME
--> file0.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.3
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\Thunderbird\Profiles\e1ug2vfb.default\Mail\Local Folders\Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001d01c72937$3653f3f0$1b360342@ann>][From: "Sparkasse, 2006" <custUnterstutzung_974555.cus][Subject: Wichtige Information [Id: 217]]638.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/SparBkfraud.1
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 27. Juni 2007 14:41
Benötigte Zeit: 40:06 min

Der Suchlauf wurde vollständig durchgeführt.

4205 Verzeichnisse wurden überprüft
378230 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
378219 Dateien ohne Befall
15628 Archive wurden durchsucht
4 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden



Logfile of HijackThis v1.99.1
Scan saved at 14:59:04, on 27.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FonTipp\FonTipp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\GhostSurf\GhostSurf.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Hijack This\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FonTipp] C:\Programme\FonTipp\start.exe min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Allow personal info to reach this site - file://C:\Programme\GhostSurf\info.allow.html
O8 - Extra context menu item: Allow popups on this site - file://C:\Programme\GhostSurf\popup.allow.html
O8 - Extra context menu item: Allow this advertisement - file://C:\Programme\GhostSurf\menu.allowimg.html
O8 - Extra context menu item: Block personal info from this site - file://C:\Programme\GhostSurf\info.block.html
O8 - Extra context menu item: Block popups on this site - file://C:\Programme\GhostSurf\popup.block.html
O8 - Extra context menu item: Block this advertisement - file://C:\Programme\GhostSurf\menu.blockimg.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf\LaunchPCC.exe
O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf\LaunchPCC.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156282100602
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Mit besten Grüßen, Findus.
Seitenanfang Seitenende
28.06.2007, 07:40
Member
Avatar Chris4You

Beiträge: 694
#7 Hi,

ich hoffe ihr seid nicht auf die Sparkassen-Emails hereingefallen (Phising)...
Hat die Rootkitsuche was gebracht?

HJ sieht eigentlich gut aus...

Chris
Seitenanfang Seitenende
28.06.2007, 11:06
...neu hier

Themenstarter

Beiträge: 6
#8 Hi,

das blicklight hat keine rootkits gefunden; den blöden phishings folge ich nicht, hab die, die ich aufstöbern konnte, gelöscht...

hmm, aber irgendwas muss doch sein - diese blöden Werbefenster im IE öffnen sich doch nicht von selbst? Hab schon überlegt, den Internet Explorer runter zu schmeißen und neu aufzuspielen - meinst du, das könnte helfen?

Danke für deine Mühe!

Findus
Seitenanfang Seitenende
28.06.2007, 13:35
Member
Avatar Chris4You

Beiträge: 694
#9 Hi,

ok, komme so nicht weiter, frage mal bei Kollegen nach, ob die noch eine Idee
haben...

Kannst Du mal einen Screenshot der Werbung anhängen?

Chris

Okay: Feedback:
Prüfe komplett mit Counterspy
scanne und poste den scanreport (stelle vorher alles auf "remove")
http://virus-protect.org/counterspy.html
Dieser Beitrag wurde am 28.06.2007 um 14:30 Uhr von Chris4You editiert.
Seitenanfang Seitenende
28.06.2007, 21:58
...neu hier

Themenstarter

Beiträge: 6
#10 Counterspy findet mein Pokerprogramm (habs inzwischen gelöscht...)

Scan History Details
Start Date: 28.06.2007 20:55:00
End Date: 28.06.2007 21:48:50
Total Time: 53 Min 50 Sec
Detected security risks

Everest Poker Potentially Unwanted Program more information...
Status: Deleted

Files detected
C:\PROGRAMME\EVEREST POKER\casino.exe
C:\PROGRAMME\EVEREST POKER\data\cpanel\shared.gvt
C:\PROGRAMME\EVEREST POKER\data\fonts\kgp-en.ttf
C:\PROGRAMME\EVEREST POKER\data\mp-lobby\de.gvt
C:\PROGRAMME\EVEREST POKER\data\mp-lobby\shared.gvt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\background\default.gvt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\background\garden.gvt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\de\bitmaps.gvt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\de\mp-poker_strings.txt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\de\mp-poker_tutorial.txt
C:\PROGRAMME\EVEREST POKER\data\mp-poker\shared.gvt
C:\PROGRAMME\EVEREST POKER\data\shared\de\country.txt
C:\PROGRAMME\EVEREST POKER\data\shared\de\language.txt
C:\PROGRAMME\EVEREST POKER\data\shared\de\ordinal.txt
C:\PROGRAMME\EVEREST POKER\data\shared\shared\bitmaps\btn_scroll.gvt
C:\PROGRAMME\EVEREST POKER\data\shared\shared\bitmaps\check.art
C:\PROGRAMME\EVEREST POKER\data\shared\shared\bitmaps\chips.art
C:\PROGRAMME\EVEREST POKER\data\shared\shared\sounds\button.ogg
C:\PROGRAMME\EVEREST POKER\data\shared\shared\sounds\carddeal.ogg
C:\PROGRAMME\EVEREST POKER\data\shared\shared\sounds\cardflip.ogg
C:\PROGRAMME\EVEREST POKER\data\shared\shared\sounds\chipclick.ogg
C:\PROGRAMME\EVEREST POKER\data\startup\de\startup_strings.txt
C:\PROGRAMME\EVEREST POKER\data\startup\en\startup_strings.txt
C:\PROGRAMME\EVEREST POKER\data\startup\shared\bitmaps\splash_poker.art
C:\PROGRAMME\EVEREST POKER\data\startup\shared\icons\ep.ico
C:\PROGRAMME\EVEREST POKER\data\startup\shared\sounds\alert.ogg
C:\PROGRAMME\EVEREST POKER\gvbase.dll
C:\PROGRAMME\EVEREST POKER\gvcrt.dll
C:\PROGRAMME\EVEREST POKER\gvgfx-dib.dll
C:\PROGRAMME\EVEREST POKER\gvgfx.dll
C:\PROGRAMME\EVEREST POKER\gvmain.dll
C:\PROGRAMME\EVEREST POKER\gvmain.exe
C:\PROGRAMME\EVEREST POKER\gvnetwork.dll
C:\PROGRAMME\EVEREST POKER\gvsound.dll
C:\PROGRAMME\EVEREST POKER\history\1.txt
C:\PROGRAMME\EVEREST POKER\history\2.txt
C:\PROGRAMME\EVEREST POKER\history\3.txt
C:\PROGRAMME\EVEREST POKER\init.ini
C:\PROGRAMME\EVEREST POKER\log.dat
C:\PROGRAMME\EVEREST POKER\settings.ini
C:\PROGRAMME\EVEREST POKER\toc_de.ini
C:\PROGRAMME\EVEREST POKER
C:\PROGRAMME\EVEREST POKER\DATA
C:\PROGRAMME\EVEREST POKER\DATA\CPANEL
C:\PROGRAMME\EVEREST POKER\DATA\FONTS
C:\PROGRAMME\EVEREST POKER\DATA\MP-LOBBY
C:\PROGRAMME\EVEREST POKER\DATA\MP-POKER
C:\PROGRAMME\EVEREST POKER\DATA\MP-POKER\BACKGROUND
C:\PROGRAMME\EVEREST POKER\DATA\MP-POKER\DE
C:\PROGRAMME\EVEREST POKER\DATA\SHARED
C:\PROGRAMME\EVEREST POKER\DATA\SHARED\DE
C:\PROGRAMME\EVEREST POKER\DATA\SHARED\SHARED
C:\PROGRAMME\EVEREST POKER\DATA\SHARED\SHARED\BITMAPS
C:\PROGRAMME\EVEREST POKER\DATA\SHARED\SHARED\SOUNDS
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\DE
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\EN
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\SHARED
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\SHARED\BITMAPS
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\SHARED\ICONS
C:\PROGRAMME\EVEREST POKER\DATA\STARTUP\SHARED\SOUNDS
C:\PROGRAMME\EVEREST POKER\HISTORY

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\EVEREST POKER
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\EVEREST POKER
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\EVEREST POKER
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\EVEREST POKER


- aber hat das vielleicht noch was zu sagen?

Trojan Remover findet diese drei:

C:\WINDOWS\system32\drivers\sbapifs.sys

C:\WINDOWS\system32\drivers\Wbutton.sys

C:\WINDOWS\System32\Drivers\x10uif.sys


Löschen, oder?

Herzlich, findus
Seitenanfang Seitenende
29.06.2007, 07:41
Member
Avatar Chris4You

Beiträge: 694
#11 Hi,

sbapifs.sys
Sbapifs.sys is related to SBAPIFS Active Protection Driver.
Manufacturer: Sunbelt Software
http://www.sunbelt-software.com/

Daher lasse die Files erst online prüfen, wbutton.sys könnte auch zu Wireless gehören ...

Bin heute leider unterwegs, was machen die popups bzw. der screenshot (Taste "Druck" und dann per copy&paste in z.B. Paint)

Chris
Seitenanfang Seitenende
04.07.2007, 19:41
...neu hier

Themenstarter

Beiträge: 6
#12 Hi Chris,

gute Nachrichten: die Werbefenster trauen sich nicht mehr!!!! - wahrscheinlich wissen sie genau, dass ich sie sofort zur genauen Untersuchung weitersenden würde - nun, Spaß beiseite, ich glaube, es ist ausgestanden, aber ich weiß nicht warum und wieso.

Wenn ich wüsste, welche Aktion dafür gesorgt hat, wäre es natürlich besser... ich hab die Toolleiste von Yahoo in Verdacht, die war - aus irgendeinem mir unerklärlichen Grund im IE installiert - die habe ich rausgeschmissen - und alles andere, was hier gepostet wurde, habe ich auch gemacht ;-) - hmm, Hauptsache das Resultat ist erreicht: keine Werbefenster mehr.

Ich danke dir sehr für deine Hilfe!!! Und grüße dich herzlich,

Findus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »