Google leitet auf eine andere Seite um

#0
24.10.2007, 14:06
Member

Beiträge: 12
#1 Hallo!
Hab auch das selbe Problem wie viele andere mit Google (IE7).
Wenn ich in google einen Link anklicke dann werde ich auf eine andere Seite weitergeleitet (z.B: ich klicke auf nokia.de und komm ich immer auf die http://shop4.o2online.de/ Seite, und wenn ich wieder zu google zurück kehre
und probier es nochmal, dann geht es wieder.

Hab antivir von avira, spybot und Ad-Aware2007 im abgesicherten Modus laufen lassen. Beim antivir und spybot wurde nichts gefunden, beim Ad-aware wurden 9 Objekte gefunden hab sie gelöscht. Das Problem besteht trotzdem.
Ich hoffe Ihr könnt mir da weiter helfen!


Logfile of HijackThis v1.99.1
Scan saved at 13:36:53, on 24.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\kmw_run.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\KMW_SHOW.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Bajki\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wu-wien.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: (no name) - {7B52C0ED-D8DD-4D25-AF0D-A132DBCF87F2} - C:\WINDOWS\system32\MFC72FRA.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [kmw_run.exe] kmw_run.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190868307703
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/1188/defaults/activex/ImageUploader3.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\system32

24.10.2007 12:32 37.469 nvapps.xml
24.10.2007 12:32 2.206 wpa.dbl
24.10.2007 12:31 353.251 vsconfig.xml
18.10.2007 09:40 2.560 settings.aaw
18.10.2007 09:40 976 history.aaw
28.09.2007 07:19 18.089.592 MRT.exe
25.09.2007 05:36 4.212 zllictbl.dat
18.09.2007 07:04 249.852 TZLog.log
06.09.2007 16:14 395.080 vsdatant.sys
06.09.2007 16:14 1.086.952 zpeng24.dll
06.09.2007 16:14 71.144 zlcommdb.dll
06.09.2007 16:14 83.432 zlcomm.dll
06.09.2007 16:14 99.816 vsxml.dll
06.09.2007 16:14 46.568 vswmi.dll
06.09.2007 16:14 472.552 vsutil.dll
06.09.2007 16:14 71.144 vsregexp.dll
06.09.2007 16:14 275.944 vspubapi.dll
06.09.2007 16:14 83.432 vsdata.dll
06.09.2007 16:14 103.912 vsmonapi.dll
06.09.2007 16:14 157.160 vsinit.dll
21.08.2007 08:16 683.520 inetcomm.dll
20.08.2007 11:55 102.400 occache.dll
20.08.2007 11:55 105.984 url.dll
20.08.2007 11:55 232.960 webcheck.dll
20.08.2007 11:55 1.152.000 urlmon.dll
20.08.2007 11:55 671.232 mstime.dll
20.08.2007 11:55 824.832 wininet.dll
20.08.2007 11:55 3.584.512 mshtml.dll
20.08.2007 11:55 193.024 msrating.dll
20.08.2007 11:55 477.696 mshtmled.dll
20.08.2007 11:55 459.264 msfeeds.dll
20.08.2007 11:55 52.224 msfeedsbs.dll
20.08.2007 11:55 44.544 iernonce.dll
20.08.2007 11:55 6.058.496 ieframe.dll
20.08.2007 11:55 27.648 jsproxy.dll
20.08.2007 11:55 267.776 iertutil.dll
20.08.2007 11:55 1.824.768 inetcpl.cpl
20.08.2007 11:55 384.512 iedkcs32.dll
20.08.2007 11:55 230.400 ieaksie.dll
20.08.2007 11:55 383.488 ieapfltr.dll
20.08.2007 11:55 132.608 extmgr.dll
20.08.2007 11:55 63.488 icardie.dll
20.08.2007 11:55 214.528 dxtrans.dll
20.08.2007 11:55 153.088 ieakeng.dll
20.08.2007 11:55 124.928 advpack.dll
17.08.2007 12:19 13.824 ieudinit.exe
17.08.2007 12:19 63.488 ie4uinit.exe
17.08.2007 09:34 161.792 ieakui.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\DOKUME~1\Bajki\LOKALE~1\Temp

24.10.2007 12:26 54.272 ginstall.dll
24.10.2007 11:39 22.253 Turkish.bin
24.10.2007 11:39 21.964 Norwegian.bin
24.10.2007 11:39 26.080 Hungarian.bin
24.10.2007 11:39 19.553 Hebrew.bin
24.10.2007 11:39 22.857 Finnish.bin
24.10.2007 11:39 24.312 Czech.bin
24.10.2007 11:39 25.071 Portuguese(Brazil).bin
24.10.2007 11:39 24.221 Polish.bin
24.10.2007 11:39 25.082 Greek.bin
24.10.2007 11:39 21.976 Thai.bin
24.10.2007 11:39 20.972 Arabic.bin
24.10.2007 11:39 16.408 SimChin.bin
24.10.2007 11:39 21.914 English.bin
24.10.2007 11:39 26.260 Portuguese.bin
24.10.2007 11:39 24.082 SWEDISH.bin
24.10.2007 11:39 27.753 Spanish.bin
24.10.2007 11:39 26.126 Russian.bin
24.10.2007 11:39 27.410 Italian.bin
24.10.2007 11:39 25.753 German.bin
24.10.2007 11:39 27.235 French.bin
24.10.2007 11:39 16.949 TradChin.bin
24.10.2007 11:39 25.747 Dutch.bin
24.10.2007 11:39 22.783 Danish.bin
24.10.2007 11:39 20.135 Korean.bin
24.10.2007 11:39 24.297 Japanese.bin
26 Datei(en) 641.465 Bytes
0 Verzeichnis(se), 51.693.559.808 Bytes frei



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS

24.10.2007 12:35 1.190 SchedLgU.Txt
24.10.2007 12:31 4.238 ModemLog_Creatix V.92 Data Fax Modem.txt
24.10.2007 12:31 15.557 WindowsUpdate.log
24.10.2007 12:31 159 wiadebug.log
24.10.2007 12:31 50 wiaservc.log
24.10.2007 12:30 2.048 bootstat.dat
24.10.2007 12:30 7.304 TMP0001.TMP
24.10.2007 11:39 0 Sti_Trace.log
22.10.2007 07:30 202 NeroDigital.ini
21.10.2007 16:20 2.110 quran.ini
19.10.2007 20:59 1.112 win.ini
24.09.2007 17:46 43 LTNHELP.INI
06.09.2007 16:14 75.248 zllsputility.exe
27.06.2007 01:02 254 system.ini
22.06.2007 16:16 286.720 Setup1.exe
22.06.2007 16:14 4.346 ODBCINST.INI
22.06.2007 16:14 660 ODBC.INI
22.06.2007 16:06 73.216 ST6UNST.EXE
13.06.2007 15:21 1.036.288 explorer.exe



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\Temp

24.10.2007 12:32 409 WGANotify.settings
24.10.2007 12:32 255 WGAErrLog.txt
24.10.2007 12:31 256 ZLT04bca.TMP
24.10.2007 12:31 256 ZLT04bc3.TMP
24.10.2007 12:31 0 sqlite_iaWMmKS1ATm3KFD
24.10.2007 12:31 0 CLML_AGENT_LOG1.txt
24.10.2007 07:05 0 T30DebugLogFile.txt
23.10.2007 08:36 256 ZLT049d2.TMP
22.10.2007 12:49 4.318 CLML_AGENT_LOG2.txt
22.10.2007 07:24 256 ZLT04494.TMP
22.10.2007 07:24 256 ZLT04491.TMP
20.10.2007 01:37 256 ZLT01ef3.TMP
19.10.2007 00:21 256 ZLT016ac.TMP
18.10.2007 01:52 256 ZLT00dd5.TMP
17.10.2007 06:25 256 ZLT0113e.TMP
16.10.2007 02:31 256 ZLT07333.TMP
16.10.2007 02:31 256 ZLT00f81.TMP
14.10.2007 22:49 256 ZLT017f5.TMP
13.10.2007 18:14 256 ZLT07755.TMP
13.10.2007 07:20 256 ZLT0025f.TMP
13.10.2007 00:28 256 ZLT04769.TMP
12.10.2007 17:23 256 ZLT0024e.TMP
12.10.2007 17:23 256 ZLT00245.TMP
11.10.2007 05:04 256 ZLT07de0.TMP
07.10.2007 17:44 256 ZLT00b68.TMP
05.10.2007 03:37 256 ZLT0671e.TMP
04.10.2007 19:16 256 ZLT03876.TMP
04.10.2007 19:16 256 ZLT06779.TMP
24.09.2007 17:46 11.184 ~FON0438.TMP
22.09.2007 17:05 256 ZLT059b1.TMP
21.09.2007 18:25 256 ZLT04854.TMP
20.09.2007 16:09 256 ZLT01294.TMP
20.09.2007 02:49 256 ZLT02e69.TMP
19.09.2007 02:39 256 ZLT057ff.TMP
18.09.2007 03:00 256 ZLT01a0a.TMP
16.09.2007 17:07 256 ZLT0063c.TMP
14.09.2007 14:46 256 ZLT07dc2.TMP
14.09.2007 02:25 256 ZLT046d2.TMP
14.09.2007 02:25 256 ZLT046c5.TMP
13.09.2007 02:55 256 ZLT00ffe.TMP
12.09.2007 03:08 256 ZLT04ba5.TMP
12.09.2007 03:08 256 ZLT04b9e.TMP
08.09.2007 08:21 123 D653F3EC.TMP
06.09.2007 02:05 256 ZLT04632.TMP
05.09.2007 01:14 256 ZLT0515f.TMP
05.09.2007 01:14 256 ZLT0515c.TMP
04.09.2007 01:26 256 ZLT00ca4.TMP
02.09.2007 03:03 256 ZLT0796c.TMP
02.09.2007 03:03 256 ZLT03a1e.TMP
31.08.2007 23:54 256 ZLT05ba9.TMP
31.08.2007 17:47 256 ZLT04260.TMP
29.08.2007 02:05 256 ZLT0555c.TMP
28.08.2007 18:13 256 ZLT02e7e.TMP
28.08.2007 18:13 256 ZLT06c94.TMP
28.08.2007 01:24 256 ZLT06852.TMP
01.08.2007 19:51 256 ZLT07944.TMP
31.07.2007 00:38 256 ZLT03932.TMP
30.07.2007 00:19 256 ZLT05c79.TMP
29.07.2007 00:52 256 ZLT027d3.TMP
27.07.2007 23:47 256 ZLT02741.TMP
22.07.2007 19:48 256 ZLT01640.TMP
22.07.2007 19:48 256 ZLT069e2.TMP
20.07.2007 23:40 256 ZLT07f42.TMP
13.07.2007 01:08 256 ZLT051b0.TMP
12.07.2007 03:05 256 ZLT05cdc.TMP
12.07.2007 01:46 256 ZLT0206c.TMP
08.07.2007 02:13 256 ZLT07cd9.TMP
67 Datei(en) 31.393 Bytes
0 Verzeichnis(se), 51.693.531.136 Bytes frei




Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.07.2007 19:24 293 wuweb.inf
31.01.2007 10:55 206 PIXACODnDUpload.inf
31.01.2007 10:33 32.310 tra2_4_0.rc
31.01.2007 10:33 1.372.160 PIXACODnDUpload.ocx
09.01.2007 08:30 110.592 PURde-at.dll
22.06.2006 14:00 1.701.488 ImageUploader_3.ocx
20.06.2006 15:44 379.704 MsnPUpld.dll
20.06.2006 15:44 117.560 PURen-us.dll
19.06.2006 14:40 393 MsnPUpld.inf
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
08.10.2005 22:56 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
26.08.2005 15:57 495 LegitCheckControl.inf
29.06.2005 18:17 227 opuc.inf
09.02.2005 16:54 1.271 erma.inf
25.11.2004 09:37 337 ImageUploader_3.inf
15.09.2004 11:20 740 jinstall-1_5_0.inf
30.06.2003 23:41 1.689 WMV9VCM.inf
18 Datei(en) 3.725.471 Bytes
0 Verzeichnis(se), 51.693.527.040 Bytes frei



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\

24.10.2007 13:46 0 sys.txt
24.10.2007 13:46 1.175 down.txt
24.10.2007 13:45 3.606 tmp.txt
24.10.2007 13:45 6.638 system.txt
24.10.2007 13:44 1.513 systemtemp.txt
24.10.2007 13:36 116.215 system32.txt
24.10.2007 12:30 1.072.156.672 hiberfil.sys
24.10.2007 12:30 1.610.612.736 pagefile.sys
25.09.2007 05:44 268 sqmdata00.sqm
25.09.2007 05:44 244 sqmnoopt00.sqm
27.06.2007 01:02 211 boot.ini
16.06.2007 22:38 230.432 PA7311.DAT
12.10.2005 08:54 1.620 IPH.PH
09.10.2005 14:46 50 AUTOEXEC.BAT
08.10.2005 22:57 0 MSDOS.SYS
08.10.2005 22:57 0 IO.SYS
08.10.2005 22:57 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
20 Datei(en) 2.683.435.080 Bytes
0 Verzeichnis(se), 51.693.522.944 Bytes frei
Seitenanfang Seitenende
24.10.2007, 16:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\MFC72FRA.DLL

Stand alone DrWeb
Stand alone Kaspersky

Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer
zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!

Entferne via Software AskPBar

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
25.10.2007, 12:28
Member

Themenstarter

Beiträge: 12
#3 Hab die Datei bei virustotal durchlaufen lassen, es kam dieses ergebnis zustande.

Ergebnis: 20/32 (62.5%)
Kaspersky 7.0.0.125 2007.10.25 not-a-virus:AdWare.Win32.Stud.d
DrWeb 4.44.0.09170 2007.10.25 -

Hab den Resident Teatimer deaktiviert und den ResetTeaTimer gestartet(2 mal beliebige Taste gedrückt dauerte insgesamt 4 Sekunden)

Mit CCleaner hab ich AskPBar(bei mir heißt er AskToolbar) deinstalliert.

Hab den Resident TeaTimer erst nachdem combofix durchlaufen ist aktiviert!

Auf der Taskleiste rechts unten sind nicht mehr so viele Symbole wie vorher!



ComboFix 07-10-23.1 - Bajki 2007-10-25 12:07:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.587 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bajki\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-25 bis 2007-10-25 ))))))))))))))))))))))))))))))
.

2007-10-25 12:06 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-25 12:01 241,664 --a------ C:\Programme\Uninstall Ask Toolbar.dll
2007-10-24 16:34 <DIR> d--h----- C:\WINDOWS\PIF
2007-09-25 05:38 21,800,992 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 10:02 257,360 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-25 09:54 18,786 ----a-w C:\Dokumente und Einstellungen\Bajki\Anwendungsdaten\wklnhst.dat
2007-10-18 02:45 --------- d-----w C:\Dokumente und Einstellungen\Bajki\Anwendungsdaten\teamspeak2
2007-09-13 01:07 --------- d-----w C:\Programme\Windows Live Toolbar
2007-09-13 01:07 --------- d-----w C:\Programme\Windows Live Favorites
2007-09-13 01:05 --------- d-----w C:\Programme\MSN Messenger
2007-09-11 02:14 --------- d-----w C:\Programme\Lavasoft
2007-09-11 02:14 --------- d-----w C:\Dokumente und Einstellungen\Bajki\Anwendungsdaten\Lavasoft
2007-09-11 02:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-06 14:14 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-09-06 14:14 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-06-24 01:19 88,776 ----a-w C:\Dokumente und Einstellungen\Bajki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-19 02:35 524,300 ----a-w C:\Dokumente und Einstellungen\Bajki\Anwendungsdaten\position.bin
2006-05-22 11:13 280 ----a-w C:\Dokumente und Einstellungen\Familie\Anwendungsdaten\wklnhst.dat
2005-10-31 06:10 0 ----a-w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wklnhst.dat
2005-10-31 06:10 0 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-09 10:25:40 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2007-06-12 11:32:11 56 --sh--r C:\WINDOWS\system32\CB3E5C46C6.sys
2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 10:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 22:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-06-12 11:32:10 9,708 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 11:47:16 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B52C0ED-D8DD-4D25-AF0D-A132DBCF87F2}]
2007-06-13 15:55 20786 --a------ C:\WINDOWS\system32\MFC72FRA.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 00:21]
"nwiz"="nwiz.exe" [2005-09-23 00:21 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-09-23 00:21 C:\WINDOWS\system32\nvmctray.dll]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2005-10-11 18:11]
"CHotkey"="mHotkey.exe" [2004-06-03 21:07 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 22:28 C:\WINDOWS\CNYHKey.exe]
"CmUCRRun"="C:\WINDOWS\system32\CmUCReye.exe" [2005-10-12 14:44]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-10-28 21:53]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 14:19]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-09 11:25]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 05:05]
"AlcFDMonitor"="C:\WINDOWS\ALCFDRTM.EXE" [2007-04-06 02:30]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 14:49 C:\WINDOWS\RTHDCPL.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 16:14]
"kmw_run.exe"="kmw_run.exe" [2005-09-01 10:43 C:\WINDOWS\system32\kmw_run.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-10-09 11:23]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-01-27 03:58]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS
R3 KMW_KBD;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\DRIVERS\KMW_KBD.sys
R3 KMW_SYS;Kensington MouseWorks Mouse filter driver;C:\WINDOWS\system32\DRIVERS\KMW_SYS.sys
R3 KMW_USB;Kensington MouseWorks USB filter driver;C:\WINDOWS\system32\DRIVERS\KMW_USB.sys
R3 PAC7311;Cammaestro 1.0PT build 146;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-25 09:35:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-25 12:09:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\CLCapSvc]
"ImagePath"="\"C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\00\00\00\00\00\00\00>\00\00\00\00\00Æ\02pè\13\00pè\13\00\18î‘|:Ë\02ÿÿÿÿm\05’|x\01\15\00\00\00\15\00\00\00\00\00ö\1b€|\00\00Ós"
.
Zeit der Fertigstellung: 2007-10-25 12:09:58
.
--- E O F ---
Dieser Beitrag wurde am 25.10.2007 um 12:32 Uhr von bajki editiert.
Seitenanfang Seitenende
25.10.2007, 17:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Bitte noch ein Log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
26.10.2007, 02:49
Member

Themenstarter

Beiträge: 12
#5 Logfile of HijackThis v1.99.1
Scan saved at 02:44:19, on 26.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\kmw_run.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\KMW_SHOW.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Bajki\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wu-wien.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7B52C0ED-D8DD-4D25-AF0D-A132DBCF87F2} - C:\WINDOWS\system32\MFC72FRA.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [kmw_run.exe] kmw_run.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190868307703
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/1188/defaults/activex/ImageUploader3.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
26.10.2007, 17:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - (no file)
O2 - BHO: (no name) - {7B52C0ED-D8DD-4D25-AF0D-A132DBCF87F2} - C:\WINDOWS\system32\MFC72FRA.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\MFC72FRA.DLL

Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B52C0ED-D8DD-4D25-AF0D-A132DBCF87F2}


Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus
Seitenanfang Seitenende
26.10.2007, 17:45
Member

Themenstarter

Beiträge: 12
#7 Wenn ich die Avenger datei entzippe kommt eine Virusmeldung.
avenger.exe (SPR/Avenger) wird als virus/trojaner eingestuft.
Bericht von Antivir:
In der Datei 'C:\Dokumente und Einstellungen\bajki\Eigene Dateien\Downloads\avenger\avenger.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Avenger' [SPR/Avenger] gefunden.
Ausgeführte Aktion: Datei löschen
Seitenanfang Seitenende
26.10.2007, 17:54
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Kann man in Antivir auch einstellen Ignorieen?
__________
MfG Argus
Seitenanfang Seitenende