Home » Spyware & Browser Hijacker Support Forum » Drive Cleaner (wieder mal) » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Drive Cleaner (wieder mal)

24.09.2007, 22:54

peter_s

...neu hier

Beiträge: 2

#1 Hallo!

Bei mir erschien auch eben diese duniose Pop-Up des Drive Cleaners, mit dem Hinweis auf den Besuch von Sex-Seiten und der Karriere. Auch ich habe solche nicht besucht, besagten Drive Cleaner aber auch nicht installiert.

Vor HJT, ComboFix und Datfind habe ich ATF-Cleaner laufen lassen. Ich nutze Internet Explorer, und habe als Virenprogramm McAfee.

Ich hoffe, ein neues Thread zu eröffnen, ist OK.

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:31:25, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\McAfee\MPS\mpsevh.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\McAfee\MSK\MskAgent.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Lexmark 7300 Series\lxcimon.exe
C:\Programme\Lexmark 7300 Series\ezprint.exe
C:\WINDOWS\Dit.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\lxcicoms.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Trimble\GPS Pathfinder Office\PfPjChgr.exe
C:\Programme\Trimble\GPS Pathfinder Office\ConMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Gemeinsame Dateien\Trimble\Remote Device Manager\TRDMU.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programme\Multi_Media\tbMult.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programme\Multi_Media\tbMult.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Projektwechsler.lnk = C:\Programme\Trimble\GPS Pathfinder Office\PfPjChgr.exe
O4 - Startup: Seismodule Controller.lnk = ?
O4 - Startup: Verbindungsmanager.lnk = C:\Programme\Trimble\GPS Pathfinder Office\ConMgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144662611812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0111251190620436) (0111251190620436mcinstcleanup) - Unknown owner - C:\WINDOWS\TEMP\011125~1.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 13412 bytes

ComboFix

ComboFix 07-09-21.2 - "Besitzer" 2007-09-24 22:33:37.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.405 [GMT 2:00]
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-24 bis 2007-09-24 ))))))))))))))))))))))))))))))
.

2007-09-24 22:30 <DIR> d-------- C:\Programme\HJT
2007-09-24 21:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-24 21:55 50,688 --a------ C:\Programme\ATF-Cleaner.exe
2007-09-24 21:42 <DIR> d-------- C:\Programme\Trend Micro
2007-09-20 15:23 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\NASA
2007-09-20 15:20 <DIR> d-------- C:\Programme\NASA
2007-09-17 18:17 <DIR> d-------- C:\spoolerlogs
2007-09-06 14:08 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Yahoo!
2007-09-06 14:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo!
2007-09-06 14:04 465,120 --a------ C:\Programme\msgr8de.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-24 22:32 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Skype
2007-09-24 22:29 318369 --a------ C:\Programme\HJT.zip
2007-09-24 19:53 --------- d-------- C:\Programme\eMule-0.46c-v17
2007-09-24 09:53 --------- d-------- C:\Programme\McAfee
2007-09-20 01:44 --------- d-------- C:\Programme\Yahoo!
2007-09-19 01:48 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\AdobeUM
2007-09-06 08:02 --------- d-------- C:\Programme\Lx_cats
2007-08-10 17:12 28164 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys
2007-08-10 11:16 --------- d-------- C:\Programme\MUSICMATCH
2007-08-10 11:12 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 11:12 --------- d-------- C:\Programme\Philips
2007-08-08 21:16 --------- d-------- C:\Programme\Disc2Phone
2007-08-08 21:15 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Teleca
2007-08-08 21:14 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Sony Ericsson
2007-08-08 21:07 --------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-08-08 21:07 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teleca
2007-08-08 21:07 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson
2007-08-08 21:05 --------- d-------- C:\Programme\Sony Ericsson
2007-08-03 23:55 --------- d-------- C:\Programme\SeisImager_e
2007-08-03 22:32 --------- d-------- C:\Programme\Multi_Media
2007-08-03 17:19 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 17:12 --------- d-------- C:\Programme\MSECache
2007-07-24 11:21 5818960 --a------ C:\Programme\Firefox Setup 2.0.0.5.exe
2007-07-23 22:29 6511400 --a------ C:\Programme\Thunderbird Setup 2.0.0.5.exe
2007-07-15 14:48 2569546 --a------ C:\Programme\eMule-0.46c-v17.zip
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-05 23:06 1677315 --a------ C:\Programme\red-baron.zip
2007-06-03 18:50 15967308 --a------ C:\Programme\WS10_Install.exe
2007-04-30 11:45 20942920 --a------ C:\Programme\SkypeSetup.exe
2007-04-12 13:53 23067984 --a------ C:\Programme\AdbeRdr80_de_DE.exe
2007-04-12 13:48 7241896 --a------ C:\Programme\psa30se_de_de.exe
2007-03-31 11:17 2650350 --a------ C:\Programme\eMusicDownloadManager.exe
2007-03-09 00:08 16757793 --a------ C:\Programme\World_Wind_1.4.0_Full.exe
2007-02-16 17:56 591400 --a------ C:\Programme\DMSetup.exe
2005-05-12 00:36 12288 --a------ C:\WINDOWS\Fonts\RandFont.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 01:32]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-10 00:49 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 15:29 C:\WINDOWS\agrsmmsg.exe]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02]
"TPSMain"="TPSMain.exe" [2005-08-03 16:16 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 11:01]
"TFncKy"="TFncKy.exe" []
"TDispVol"="TDispVol.exe" [2005-09-16 13:53 C:\WINDOWS\system32\TDispVol.exe]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 13:37]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 12:41]
"CFSServ.exe"="CFSServ.exe" []
"MskAgentexe"="C:\Programme\McAfee\MSK\MskAgent.exe" [2007-01-17 18:30]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44]
"lxcimon.exe"="C:\Programme\Lexmark 7300 Series\lxcimon.exe" [2005-09-30 16:47]
"EzPrint"="C:\Programme\Lexmark 7300 Series\ezprint.exe" [2005-08-01 14:05]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Dit"="Dit.exe" [2002-09-05 18:14 C:\WINDOWS\Dit.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 19:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05]
"googletalk"="C:\Programme\Google\Google Talk\googletalk.exe" [2007-04-19 07:37]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 11:07]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 01:49:24]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

R3 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe -service
S2 0111251190620436mcinstcleanup;McAfee Application Installer Cleanup (0111251190620436);C:\WINDOWS\TEMP\011125~1.EXE C:\PROGRA~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service
S3 akshasp;Aladdin HASP Key;C:\WINDOWS\system32\DRIVERS\akshasp.sys
S3 EraserUtilDrv10710;EraserUtilDrv10710;\??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilDrv10710.sys
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys
S3 TrmbTS;TrimbleTS Driver (TrmbTS.sys);C:\WINDOWS\system32\Drivers\TrmbTS.sys
S3 TRMUSB5K;Trimble USB GPS Driver;C:\WINDOWS\system32\drivers\TRMUSB5K.sys
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys

*Newly Created Service* - 0111251190620436MCINSTCLEANUP
.
Inhalt des "geplante Tasks" Ordners
"2007-09-18 16:03:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-09-24 18:00:02 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
"2007-09-15 00:13:15 C:\WINDOWS\Tasks\McDefragTask.job"
"2007-07-31 23:08:49 C:\WINDOWS\Tasks\McQcTask.job"
- c:\programme\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-24 22:35:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-24 22:36:02
C:\ComboFix-quarantined-files.txt ... 2007-09-24 22:35
C:\ComboFix2.txt ... 2007-09-24 22:15
.
--- E O F ---

Datfind: Attachment

Anhang: datfind.txt

24.09.2007, 23:20

Argus

Ehrenmitglied

Beiträge: 6028

#2 Kein DriveCleaner

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Dein Java software ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf " Download "
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\ Java entfernen!
Nachdem alles entfernt wurde ---> Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe ”
__________
MfG Argus

25.09.2007, 00:28

peter_s

...neu hier

Themenstarter

Beiträge: 2

#3 Hallo Arnold!

Das ging ja fix, danke für die rasche Antwort. Habe alles wie geschrieben erledigt.

Herzlichen Dank!
Peter

25.09.2007, 08:48

pank

...neu hier

Beiträge: 8

#4 Hallo ihr alle,
schön, dass es so ein Forum gibt und so viele hilfsbereite Menschen.

Ich habe gestern auch ein Drive Cleaner Popup bekommen und mich versucht schlau zu machen was das ist. Klingt schon beängstigend.
Ich wollte jetzt erstmal Eure Liste mit den diversen Antivirenprogrammen abhacken und HighjackThis.
Das erste Programm, escan ist durchgelaufen und hat 4 Viren gefunden, aber nichts gemacht, nichts gelöscht oder desinfiziert.
Muss ich jetzt irgendwas beachten beim Umgang mit dem Computer? Keine emails oder online Banking oder irgendwas anderes?
An Sicherheitsprogrammen habe ich Zone Alarm und Avira Antivir Free Version.

Hier mal der Report von escan:

Object "lopcom Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "lopcom Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\CoachDM.WebCoachDownload" verweist auf das ungültige Objekt "{E04EAE82-14AD-41CB-BF5A-45556ABB8347}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\CoachDM.WebCoachDownload.1" verweist auf das ungültige Objekt "{E04EAE82-14AD-41CB-BF5A-45556ABB8347}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmjblaunch.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmfwlaunch.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOCUME~1\Anke\LOCALS~1\Temp\_ISTMP3.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\MSXML3A.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\Owner\Application Data\Jasc Software Inc\Paint Shop Pro 8\Cache\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\Owner\Application Data\Jasc Software Inc\Paint Shop Pro 8\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\Owner\Application Data\Jasc Software Inc\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\Owner\My Documents\My PSP8 Files\Scripts-Restricted\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Your Company Name\Your Product Name\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Your Company Name\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Microsoft\MSDAIPP\Offline\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Microsoft\MSDAIPP\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\DEU\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\ENU\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\EOSCapture\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\baby\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\baby\Clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\baby\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\beach\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\beach\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\birthday\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\birthday\Clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\children\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\children\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\christmas\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\christmas\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\christmas\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\classic\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\classic\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\birds\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\events\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\flowers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\pets\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\sport\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\clipart\stickers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\crests\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\floral\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\border\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\sketch\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\tacks\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\tacks\text\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\frames\wood\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\fun\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\fun\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\fun\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Backgrounds\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\Baby_fun\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\bears\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\birthyday_modern\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\blurs\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\bubbles\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\bugs\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\christmas\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\clouds\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\discs\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\leafs\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\glorious\Particles\weddings\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\halloween\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\halloween\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\halloween\textframe\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\lines\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\maple\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\mask\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\modern\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon1\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon1\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon1\text_frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon2\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon2\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nippon2\text_frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\numbers\bold\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\numbers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\numbers\classic\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\numbers\modern\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\numbers\stencil\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery1\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery1\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery1\frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery1\text frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery2\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery2\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery2\frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\Nursery2\text frames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\oriental\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\paper\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\rocks\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\romance\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\simple\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\simple\tacks & pins\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\explosion\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\float\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\float2\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\flourish\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\flourish2\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\note\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\plaque\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\scroll\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\speech\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textframes\thought\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\textures\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\themes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\themes\icons\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\travel\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\travel\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\travel\textframes\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\web_teasers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\wedding\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\wedding\clipart\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\wood\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\PhotoRecord\art\wood\text\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\OP_WAV\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\RL_WAV\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\SI_JPG\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\SS_WAV\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\TM_WAV\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\MyCameraFiles\VI_JPG\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\CameraWindowMC\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\CameraWindowDVC\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\CameraWindow\CameraWindowDS\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Program Files\Canon\RAW Image Task\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\7.0\Replicate\Security\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\7.0\Replicate\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\7.0\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Adobe\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.1.1.5\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Apple Mobile Device Support 1.1.1.1\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Documents and Settings\All Users\Application Data\Apple\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".APP". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".BUP". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".class". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".dbf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".DEU". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".DS_Store". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".fcgi/mail/print/attachment?mid=iDxANTtDZCENd1J6ZWwlTGF7KmkgU8ac&uid=xHAQcdh8TiEtyIXtsWRwaSN1Z0VSRNf%2F&frame=content". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".kwd". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ldif". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lrc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mpga". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".php?thismailbox=INBOX&index=14&id=5&actionID=113&mime=752a0bb84fcc3566d83059a986324fbf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ra". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".RecordNowSendToExt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rmvb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ssm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".THM". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".TMP". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".VCD". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".VOB". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AntiVir/XP". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AolCoach". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "InstallShield_{3CB41017-F5CA-4C56-934C-ED02156251E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "InstallShield_{54C0D94A-F467-4ABC-9D02-6E58748668D4}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "InstallShield_{C21D5524-A970-42FA-AC8A-59B8C7CDCA31}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{2B257128-0B59-4A88-AFDF-BE12E5F5B9A0}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{2B257128-0B59-4A88-AFDF-BE12E5F5B9A1}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AB90749C-7422-4580-8A7A-66CC5E9E5F98}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1033-7B44-A00000000001}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B6F867E8-F092-4C5E-7D72-AC7057DBEF45}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{CFF8E668-1954-44CC-A342-FED2CC0601CA}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F011B8F1-BCCD-4E73-84F8-CB2F2D258755}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Anke\LOCALS~1\TEMPOR~1\Content.IE5\H7JZ1LWE\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Anke\Local Settings\Temporary Internet Files\Content.IE5\H7JZ1LWE\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

25.09.2007, 19:57

Chris4You

Member

Beiträge: 694

#5 Hi,

auf die Schnelle finde ich nur was in dem letzten Eintrag
"C:\Documents and Settings\Anke\Local Settings\Temporary Internet Files\Content.IE5\H7JZ1LWE\mwav[1].exe" (Und das sollte selbst ein
Virenscanner sein ;o)

Das kannst Du durch Löschen der temporären Dateien beseitigen:
cleanen
- Empty Recycle Bins
- Delete Prefetch files
- Cleanup! All Users
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

So, den Rest kannst Du mit einem Registry-Cleaner beseitigen
z. B.:http://www.chip.de/downloads/c1_downloads_27255313.html

Oder alles in einem:
http://www.CCleaner.com/CCleaner-20

Dann solltest Du noch mal mit Avira scannen:
Stelle Avira wie folgt ein: http://board.protecus.de/t23979.htm
Führe einen Systemscan durch und poste das Ergebnis!

Und noch mal einen escan posten sowie ein HJ.Log
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

26.09.2007, 11:09

pank

...neu hier

Beiträge: 8

#6 Hi Chris,

vielen Dank!

Habe CCleaner durchgeführt.
Hier ist als erstes das Avira Ergebnis: (die anderen folgen)

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 26. September 2007 10:22

Es wird nach 854609 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: ANKPANK

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 24.09.2007 19:05:16
AVSCAN.DLL : 7.0.6.0 57384 Bytes 24.09.2007 19:05:15
LUKE.DLL : 7.0.5.3 147496 Bytes 24.09.2007 19:05:25
LUKERES.DLL : 7.0.6.0 10792 Bytes 24.09.2007 19:05:25
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 19:05:32
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 19:05:33
ANTIVIR2.VDF : 7.0.0.4 174592 Bytes 24.09.2007 19:05:33
ANTIVIR3.VDF : 7.0.0.15 98816 Bytes 26.09.2007 08:19:57
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 24.09.2007 19:05:38
AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 09:42:13
AVPREF.DLL : 7.0.2.2 25640 Bytes 24.09.2007 19:05:14
AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 09:42:18
AVPACK32.DLL : 7.3.0.15 360488 Bytes 20.08.2007 07:33:43
AVREG.DLL : 7.0.1.6 30760 Bytes 24.09.2007 19:05:14
AVARKT.DLL : 1.0.0.20 278568 Bytes 24.09.2007 19:05:04
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 24.09.2007 19:05:08
NETNT.DLL : 7.0.0.0 7720 Bytes 24.04.2007 09:42:15
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 20:44:47
RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 20:44:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 24.09.2007 19:05:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 26. September 2007 10:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSIMN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zonealarm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netfxupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Phototool\ijl11.dll
[FUND] Enthält Erkennungsmuster des SPR/FKeylogger.4-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47661dcb.qua' verschoben!
C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP502\A0054294.dll
[FUND] Enthält Erkennungsmuster des SPR/FKeylogger.4-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472a1eef.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 26. September 2007 11:04
Benötigte Zeit: 41:58 min

Der Suchlauf wurde vollständig durchgeführt.

4606 Verzeichnisse wurden überprüft
140016 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
140014 Dateien ohne Befall
2591 Archive wurden durchsucht
2 Warnungen
1 Hinweise

26.09.2007, 13:03

Chris4You

Member

Beiträge: 694

#7 Hi,

um einen false/positiv Befund ausschießen zu können,
die Datei C:\Program Files\Phototool\ijl11.dll online
prüfen lassen (aus Quarantäne-Ordner von Avira):
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\Program Files\Phototool\ijl11.dll

Poste das Ergebnis...

chris

27.09.2007, 10:56

pank

...neu hier

Beiträge: 8

#8 Hallo Chris,

als ich den escan log hier reinkopieren wollte, ist mir der Rechner abgeschmiert. Wenn das als Auskunft reicht, muss ich den scan vielleicht nicht nochmal laufen lassen. Es wurden 8 viren gefunden alle in den mwav dateien, die ja wohl zu escan selber gehören.
Das mit Virus total und der Datei senden klappt irgendwie auch gerade nicht oder dauert einfach ewig, das hochladen läuft seit einer halben Stunde. Man musste doch einfach den Dateipfad:C:\Program Files\Phototool\ijl11.dll eingeben?
Aber Highjackthis klappte, hier das Log. Rest folgt!
Liebe Grüße, Anke.

Logfile of HijackThis v1.99.1
Scan saved at 10:01:35, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell4me.com/myway
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://kalender.pixaco.de/Upload/PixacoActiveX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{132D047F-F313-4A19-8118-9AC3134C599F}: NameServer = 62.109.123.197 213.191.74.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{132D047F-F313-4A19-8118-9AC3134C599F}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

27.09.2007, 11:04

Chris4You

Member

Beiträge: 694

#9 Hi,

das HJ-Log sieht gut aus....
Zur Zeit gibt es Probleme mit escan und Dr.Web, beide agieren zu Agressive (ja, escan erkennt sich selber als Virus und Dr. Web löscht Sachen die zu Windows gehören (das dann nicht mehr läuft)...

Prüfe einfach mal wie groß die Datei (C:\Program Files\Phototool\ijl11.dll) ist...

Chris

27.09.2007, 11:25

pank

...neu hier

Beiträge: 8

#10 heihei!
So, hier der combofix (weiter unten dann das datlog)

ComboFix 07-09-21.2 - "Anke" 2007-09-27 11:10:09.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.173 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2007-08-27 to 2007-09-27 )))))))))))))))))))))))))))))))
.

2007-09-27 11:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-27 09:12 <DIR> d-------- C:\Program Files\HJT
2007-09-26 09:19 <DIR> d-------- C:\Program Files\CCleaner
2007-09-26 01:08 <DIR> d-------- C:\DOCUME~1\Anke\APPLIC~1\vlc
2007-09-25 18:21 <DIR> d-------- C:\Program Files\VLCPortable
2007-09-25 09:37 <DIR> d-------- C:\Program Files\Lavasoft
2007-09-25 09:37 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-09-25 09:29 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\SYSTEM32\vcmgcd32.dll
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\SYSTEM32\iifgfgf.dll
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-24 21:08 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-24 21:06 146,432 --a------ C:\WINDOWS\R.COM
2007-09-24 21:06 135,680 --a------ C:\WINDOWS\SYSTEM32\T.COM
2007-09-21 18:16 <DIR> d-------- C:\Program Files\OriginLab
2007-09-21 18:12 <DIR> d-------- C:\Program Files\origin
2007-09-19 21:53 <DIR> d-------- C:\Program Files\Common Files\xing shared
2007-09-19 21:51 <DIR> d-------- C:\Program Files\Real
2007-09-19 21:48 <DIR> d-------- C:\DOCUME~1\Anke\APPLIC~1\Real
2007-09-18 16:44 <DIR> d-------- C:\Program Files\iPod
2007-09-18 16:43 <DIR> d-------- C:\Program Files\iTunes
2007-09-18 16:39 <DIR> d-------- C:\Program Files\QuickTime
2007-09-18 16:38 <DIR> d----c--- C:\WINDOWS\SYSTEM32\DRVSTORE
2007-09-18 16:38 <DIR> d-------- C:\Program Files\Common Files\Apple
2007-09-14 15:18 <DIR> d-------- C:\DOCUME~1\Anke\APPLIC~1\dvdcss
2007-09-12 21:40 <DIR> d-------- C:\Program Files\VideoLAN
2007-09-05 23:28 <DIR> d-------- C:\DOCUME~1\Guest\APPLIC~1\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-26 10:50 --------- d-------- C:\Program Files\Phototool
2007-09-26 10:01 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-25 12:05 --------- d-------- C:\Program Files\PDATA
2007-09-24 13:34 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-09-23 18:48 --------- d-------- C:\DOCUME~1\Anke\APPLIC~1\EndNote
2007-09-19 21:53 --------- d-------- C:\Program Files\Common Files\Real
2007-09-09 21:36 --------- d-------- C:\DOCUME~1\Anke\APPLIC~1\Skype
2007-09-07 13:37 --------- d-------- C:\Program Files\Endnote 6.0
2007-08-22 18:40 --------- d-------- C:\Program Files\EndNote
2007-08-22 18:39 --------- d-------- C:\Program Files\Common Files\Risxtd
2007-08-21 13:19 --------- d-------- C:\Program Files\totalcmd
2007-08-21 13:17 2158664 --a------ C:\Program Files\tcmdr701.exe
2007-08-07 13:58 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-08-07 13:56 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-07-30 19:19 92504 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\SYSTEM32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\SYSTEM32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\SYSTEM32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\SYSTEM32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\SYSTEM32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\SYSTEM32\DLLCACHE\wups.dll
2007-05-21 21:25 718 --a------ C:\Program Files\STATE.INI
2007-05-21 21:25 1333 --a------ C:\Program Files\Main.ini
2007-04-24 12:11 643144 --a------ C:\Program Files\XviD-1.1.2-01112006.exe
2006-01-07 19:37 1409 --a------ C:\Program Files\OMTLDRAW.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMTLDCRC.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMTILDA.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMSITILD.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMSIMRAR.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMSIMACR.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMSICIRC.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMRARROW.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMMISC04.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMMISC03.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMMISC02.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMMISC01.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMMACMIS.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMCIRC.FOT
2006-01-07 19:37 1409 --a------ C:\Program Files\OMBABOVE.FOT
2005-01-16 19:00 22550456 --a------ C:\Program Files\iTunesSetup.exe
2004-12-20 14:52 21 --a------ C:\Program Files\AVPersonalAVWIN.INI
2004-09-03 11:29 4354084 --a------ C:\Program Files\spybotsd.exe
2004-01-17 17:54 1260 --a------ C:\Program Files\Serial numbers fuer nero6300.txt
2003-12-19 17:01 24048571 --a------ C:\Program Files\nero6300.exe
1998-11-15 15:10 1187936 --a------ C:\Program Files\OMV3.EXE
1998-11-15 15:09 549296 --a------ C:\Program Files\BWPDBCOM.DLL
1998-11-15 13:10 2560 --a------ C:\Program Files\MENU.DLL
1998-11-15 12:41 161532 --a------ C:\Program Files\TOOLBAR.DLL
1998-11-15 11:51 2755264 --a------ C:\Program Files\GRAPHICS.DLL
1998-11-13 12:53 667122 --a------ C:\Program Files\PBWPSPLT.OBI
1998-11-13 12:53 3000403 --a------ C:\Program Files\PBWP.OBD
1998-11-13 10:30 684054 --a------ C:\Program Files\PBWPA2T.ODI
1998-11-13 03:29 692246 --a------ C:\Program Files\PBWPA2A.ODI
1998-11-12 20:58 1066794 --a------ C:\Program Files\BWPHELP.HLP
1998-11-12 20:20 1370880 --a------ C:\Program Files\TOOLICON.DLL
1998-11-12 19:23 271352 --a------ C:\Program Files\TWEAKS.DLL
1998-10-23 15:16 54784 --a------ C:\Program Files\OMEIMAGE.DLL
1998-10-23 15:16 23632 --a------ C:\Program Files\DIBAPI.DLL
1998-10-22 22:42 24740 --a------ C:\Program Files\OMMISC03.TTF
1998-10-22 21:17 24220 --a------ C:\Program Files\OMMISC02.TTF
1998-09-03 21:53 30652 --a------ C:\Program Files\OMMISC04.TTF
1998-08-10 22:11 19908 --a------ C:\Program Files\OMMISC01.TTF
1998-08-05 11:00 157648 --a------ C:\Program Files\LEADEMBD.DLL
1998-07-21 21:38 10760 --a------ C:\Program Files\OMMACMIS.TTF
1998-07-16 20:32 12622 --a------ C:\Program Files\ELEMICON.DLL
1998-07-08 11:17 87472 --a------ C:\Program Files\LFTIF90W.DLL
1998-07-08 11:17 14544 --a------ C:\Program Files\MVBK14W.DLL
1998-07-08 11:17 14416 --a------ C:\Program Files\LFBMP90W.DLL
1998-07-08 11:17 119616 --a------ C:\Program Files\MVCL14W.DLL
1998-06-21 11:24 52736 --a------ C:\Program Files\OMDB10.DLL
1998-06-21 11:24 48640 --a------ C:\Program Files\OMDB11.DLL
1998-06-21 11:23 48736 --a------ C:\Program Files\MVMG14W.DLL
1998-06-21 11:23 44976 --a------ C:\Program Files\MVSR14W.DLL
1998-06-21 11:23 42336 --a------ C:\Program Files\MVTL14W.DLL
1998-06-21 11:23 209744 --a------ C:\Program Files\LFCMP90W.DLL
1998-05-20 18:15 272384 --a------ C:\Program Files\LTKRN90W.DLL
1998-04-16 04:26 47012 --a------ C:\Program Files\OMBABOVE.TTF
1998-04-04 20:17 53104 --a------ C:\Program Files\LTFIL90W.DLL
1998-04-04 20:16 177520 --a------ C:\Program Files\LTDIS90W.DLL
1998-04-03 18:15 11120 --a------ C:\Program Files\LFPCT90W.DLL
1998-04-03 18:14 45936 --a------ C:\Program Files\LFFAX90W.DLL
1998-04-03 18:13 82928 --a------ C:\Program Files\LTIMG90W.DLL
1998-04-03 18:13 139792 --a------ C:\Program Files\LTEFX90W.DLL
1998-03-12 18:46 44512 --a------ C:\Program Files\MVFS14W.DLL
1998-03-12 18:46 11776 --a------ C:\Program Files\OMMVCM12.DLL
1998-03-12 18:46 10016 --a------ C:\Program Files\MVUT14W.DLL
1998-01-14 19:33 23712 --a------ C:\Program Files\OMMDPN22.VBX
1997-11-17 15:55 56050 --a------ C:\Program Files\OMBAG16.DLL
1997-06-11 17:08 35384 --a------ C:\Program Files\OMSICIRC.TTF
1997-05-26 15:58 23200 --a------ C:\Program Files\OMMDPN21.VBX
1997-05-26 15:27 180872 --a------ C:\Program Files\OMDIB.DLL
1997-05-15 15:12 34960 --a------ C:\Program Files\OMSIMACR.TTF
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-24 21:05]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 12:00]

C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\
DESKTOP.INI [2004-08-10 20:04:12]
ZoneAlarm.lnk - C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe [2004-12-12 23:18:21]

C:\DOCUME~1\Anke\STARTM~1\Programs\Startup\
DESKTOP.INI [2004-08-10 20:04:12]

C:\DOCUME~1\Guest\STARTM~1\Programs\Startup\
DESKTOP.INI [2004-08-10 20:04:12]

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\Programs\Startup\
DESKTOP.INI [2004-08-10 20:04:12]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Utility Tray.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Utility Tray.lnk
backup=C:\WINDOWS\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
C:\Program Files\Apoint\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
C:\WINDOWS\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlccmon.exe]
"C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
"C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mouseElf]
C:\PROGRA~1\TWINTO~1\MouseElf.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"C:\Program Files\Dell\Media Experience\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook]
C:\WINDOWS\system32\keyhook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sonic RecordNow!]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys
R3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2004-12-08 11:50:34 C:\WINDOWS\Tasks\ISP signup reminder 1.job"
- C:\WINDOWS\system32\OOBE\OOBEBALN.EXE
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-27 11:12:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-27 11:13:07
C:\ComboFix-quarantined-files.txt ... 2007-09-27 11:12
.
--- E O F ---

Logfile:

Volume in drive C has no label.
Volume Serial Number is F04E-B622

Directory of C:\WINDOWS\system32

27.09.2007 08:33 237 vsconfig.xml
25.09.2007 13:06 249.908 TZLog.log
22.09.2007 11:10 118.152 FNTCACHE.DAT
21.09.2007 16:40 2.206 WPA.DBL
19.09.2007 21:52 176.167 rmoc3260.dll
19.09.2007 21:52 5.632 pndx5032.dll
19.09.2007 21:52 6.656 pndx5016.dll
19.09.2007 21:52 278.528 pncrt.dll
05.09.2007 19:50 17.474.680 MRT.exe
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 25.944 wuaucpl.cpl.mui
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 25.944 wuapi.dll.mui
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.312 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 14:42 60.416 tzchange.exe

Ich freu mich auf Antwort!! Danke!

Dieser Beitrag wurde am 27.09.2007 um 11:32 Uhr von pank editiert.

27.09.2007, 11:59

Chris4You

Member

Beiträge: 694

#11 Hi,

folgende Dateien online prüfen:
C:\WINDOWS\R.COM
C:\WINDOWS\SYSTEM32\T.COM

Poste das Ergebnis mit Filename.
Der Rest sieht eigentlich auch gut aus...

Wir machen noch ein Silentrunner-log:
Loadingpoints von Programmen.
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
Chris

27.09.2007, 15:11

pank

...neu hier

Beiträge: 8

#12 Hi Chris,

das online prüfen klappt immernoch nicht. Oder bin ich zu ungeduldig? www.virustotal.com? und dann weiterverschicken und SSL ja oder nein? Wie lange dauert sowas denn normalerweise?
Die erste datei C:\Program Files\Phototool\ijl11.dll kann ich auf meinem Rechner nicht finden. Die anderen schon.
Jetzt hat gerade antivir guard eine unerlaubtes Programm gemeldet

In der Datei 'C:\WINDOWS\NirCmd.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.1' [APPL/NirCmd.1] gefunden.
Ausgeführte Aktion: Zugriff verweigern

gehört das zu combofix? Bei dem Durchlauf hat das sich auch öfter gemeldet.

Hier ist der silentrun:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {HKLM...CLSID} = "Display Panning CPL Extension"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Anke\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Startup items in "Anke" & "All Users" startup folders:
------------------------------------------------------

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
"ZoneAlarm" -> shortcut to: "C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]

Enabled Scheduled Tasks:
------------------------

"ISP signup reminder 1" -> launches: "C:\WINDOWS\system32\OOBE\OOBEBALN.EXE /sys /i /n:1" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{D81CA86B-EF63-42AF-BEE3-4502D9A03C2D}\
"ButtonText" = "MUSICMATCH MX Web Player"
"Script" = "http://wwws.musicmatch.com/mmz/openWebRadio.html" [file not found]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
iPod-Dienst, iPod Service, ""C:\Program Files\iPod\bin\iPodService.exe"" ["Apple Inc."]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
WLTRYSVC, WLTRYSVC, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
LIDIL hpzll463\Driver = "hpzll463.dll" ["Hewlett-Packard Company"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2007-09-27 14:54:56)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 56 seconds, including 4 seconds for message boxes)

Grüßchens,
Anke
Ich hasse

27.09.2007, 16:07

Chris4You

Member

Beiträge: 694

#13 Hi,

Du hast Zonealarm auf Deinem Rechner, ausgehende Verbindungen erlauben etc.,SSL ist nicht erforderlich. Die Upload-Geschwindigkeit hängt von der Internetanbindung ab, meistens upstream ca. 128kb... .
Da die Dateien ca. 150KB groß sind, müsste es eigentlich relativ schnell gehen!
(Achtung: JavaScript muss im Browser erlaubt sein, sonst sieht es so aus als ob er ewig lädt...)!

Kommen noch Drive-Cleaner Popups?

Chris

27.09.2007, 17:07

pank

...neu hier

Beiträge: 8

#14 Hallo nochmal,

das online checking klappt nicht. Im Menü Tools, internetoptions ist java angeklickt also enabled (hab ne englische version) und das symbol ist auch in der Leiste zu sehen. Habe bei Zone alarm alles was ich zu outbound gefunden habe erlaubt, für outgoing DNS und DHCP. WAs muss ich denn noch anders einstellen? Bin nicht so der Computerkenner. Der Nerdtest hat mich eindeutig als gar nicht nerd eingestuft

Das ich die andere Datei nicht gefunden habe ist nicht so schlimm?
Das Popup kommt nicht mehr! Aber irgendwie hab ich jetzt trotzdem Angst, weil ich auch viel Bestellungen und Online Banking mache. Ist dem abzuraten, muss ich noch irgendwelche anderen Sicherheitseinstellungen vornehmen?
Fragen über Fragen! Vielen Dank für die gute Hilfe!

Anke

28.09.2007, 08:26

Chris4You

Member

Beiträge: 694

#15 Hi,

probieren wir die Jotti.org mal zum Onlinescannen aus:
http://virusscan.Jotti.org/de/

Was ist noch zu tun...
Wenn Du Dir unsicher bist, am besten das System neu aufsetzten!

Ansonsten mit Firefox surfen, NoScript-Plugin laden (http://noscript.net/) und aktivieren, einen User mit eingeschränkten Rechten für's Surfen einrichten und eventuell SandBoxi (http://www.sandboxie.com/) einrichten und den Browser darin laufen lassen...

Chris

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2