Und wieder mal Probleme mit newdotnet |
||
---|---|---|
#0
| ||
11.03.2008, 09:50
...neu hier
Beiträge: 4 |
||
|
||
11.03.2008, 12:23
Ehrenmitglied
Beiträge: 1441 |
#2
Hallo
1. bringe Winsockfix auf deinen Rechner + wende es an: http://www.winsockfix.nl/ 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)3. scanne mit counterspy + lasse alles gefundene entfernen + poste den report http://www.virus-protect.org/counterspy1.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
12.03.2008, 08:47
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Pinguin
Vielen Dank für die Antwort. Habe alles gemacht wie gefordert. Die Newdotnet Fehlermeldung beim Hochfahren ist schon mal weg, die Internetverbindung klappt aber leider noch nicht. Counterspy hat neben den drei von Dir erwähnten Einträgen aus HijackThis noch zwei weitere Sachen gefunden. Hier das Logfile: Scan History Details Start Date: 11.03.2008 20:59:54 End Date: 11.03.2008 22:36:59 Total Time: 97 Min 5 Sec Detected security risks NewDotNet Browser Plug-in more information... Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable. Status: Deleted Files detected C:\QooBox\Quarantine\C\WINDOWS\NDNuninstall6_22.exe.vir C:\QooBox\Quarantine\C\WINDOWS\NDNuninstall6_30.exe.vir Registry entries detected HKEY_USERS\.DEFAULT\SOFTWARE\NEW.NET HKEY_USERS\S-1-5-18\SOFTWARE\NEW.NET WhenU.Save Adware (General) more information... Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\Software\Classes\WUSE.1 HKEY_LOCAL_MACHINE\Software\Classes\WUSE.1 HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\FRZE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\FRZE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\FRZE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\FRZE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE StarDialer more information... Details: An ActiveX installer control for phone diallers, usually German. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Control HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Control HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Implemented Categories HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\InprocServer32 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\InprocServer32 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\InprocServer32 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\MiscStatus HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\MiscStatus HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\MiscStatus\1 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\MiscStatus\1 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\ProgID HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\ProgID HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\ToolboxBitmap32 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\ToolboxBitmap32 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\TypeLib HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\TypeLib HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Version HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\Version Marketscore.RelevantKnowledge Adware (General) more information... Status: Deleted Files detected C:\QooBox\Quarantine\C\WINDOWS\system32\rk.bin.vir C:\QooBox\Quarantine\C\WINDOWS\system32\rlls.dll.vir C:\QooBox\Quarantine\C\WINDOWS\system32\rlvknlg.exe.vir My Freeze/YourScreen Adware Bundler more information... Details: My Freeze/YourScreen .com is a website which contains many screen savers , this site also bundled with many adwares such as Whenu.com, Save now etc Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Living Marine Aquarium ScreenSaver HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Living Marine Aquarium ScreenSaver HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Living Marine Aquarium ScreenSaver HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Living Marine Aquarium ScreenSaver HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Living Marine Aquarium ScreenSaver HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge HKEY_LOCAL_MACHINE\SOFTWARE\SCREENSAVER.COM\Relevant Knowledge Gruß Eike |
|
|
||
12.03.2008, 14:12
Ehrenmitglied
Beiträge: 1441 |
#4
hast du Winsockfix auf deinen Rechner gebracht ? Mit dem Proggie kann man die Internetverbindung wieder herstellen
Du hast wahrscheinlich die Viren-dll , die im Winsock war - gelöscht. (newdotnet6_38.dll) Aber , wie gesagt, den Winsock kann man reparieren mit Winsockfix. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
12.03.2008, 14:57
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo,
ja das habe ich eigentlich gemacht. Werde es heute Abend aber einfach nochmal probieren. Ansonsten gehts wohl nur über eine Systemwiederherstellung, oder? Zumindest war das eine Lösungsoption bei einem ähnlichen Problem hier in den Foren. Bei dem Versuch einer Internetverbindung kommt übrigens immer die Fehlermeldung "Fehlermeldung 680 - Kein Freizeichen". Gruß Schlaubi |
|
|
||
12.03.2008, 15:47
Ehrenmitglied
Beiträge: 1441 |
#6
du kannst es mit einer Systemwiederherstellung versuchen, dann mache gleich ein Log vom HijackThis und poste es hier, nicht die dll wieder auslöschen
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
13.03.2008, 08:31
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo,
habe es nochmal mit Winsockfix probiert und siehe da, jetzt geht wieder alles! Kein Ahnung was da beim ersten Versuch falsch gelaufen ist. Konnte also auf eine Systemwiederherstellung verzichten. Für die Zukunft probiere ich es dann mal mit einem eingeschränkten Benutzerkonto und Firefox... Vielen Dank für die super Hilfe und Gruß Schlaubi |
|
|
||
auch ich gehöre zu den Leuten die sich dieses newdotnet-Problem eingefangen haben. Seitdem kann ich keine Internetverbindung mehr aufbauen. Habe schon viel hier im Forum darüber gelesen, aber die Problembeseitigung scheint ja nur individuell möglich, so dass ich ein neues Thema erstellt habe.
Als Vorarbeit habe ich folgendes gemacht:
1. ATF-Cleaner ausgeführt
2. ComboFix-Logfile erstellt
3. HijackThis-Logfile erstellt
4. datfind.bat-Logfile erstellt
Hier alle Logfiles:
[u]ComboFix:[/u]
ComboFix 08-03-09.4 - E*** B*** 2008-03-10 19:54:59.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.270 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\E*** B***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\NDNuninstall6_22.exe
C:\WINDOWS\NDNuninstall6_30.exe
C:\WINDOWS\system32\rk.bin
C:\WINDOWS\system32\rlls.dll
C:\WINDOWS\system32\rlvknlg.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.
Keine neuen Dateien erstellt in diesem Zeitraum
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 18:51 35,184 ----a-w C:\Dokumente und Einstellungen\E*** B***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-02-08 16:40 29,184 --sha-w C:\Programme\Thumbs.db
2003-06-12 09:33 957,465 ----a-w C:\Programme\wrar320d.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}]
C:\Programme\NewDotNet\newdotnet6_38.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-10-15 23:18 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-10-15 23:05 114688]
"AGRSMMSG"="AGRSMMSG.exe" [2003-09-23 16:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2002-05-30 09:23 163840]
"SENS Keyboard V4 Launcher"="C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE" [2002-07-17 17:05 40960]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 11:50 155648]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2000-07-12 12:59 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2000-07-12 14:14 311350]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [2000-07-21 16:39 28739]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2003-04-07 02:16 631364]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-05-10 22:00 77824]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2004-05-12 15:36 26112]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"OSS"="C:\windows\system32\rlvknlg.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2002-12-02 20:56:10 40960]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 SSHDRV62;SSHDRV62;C:\WINDOWS\System32\drivers\SSHDRV62.sys [2004-01-17 16:26]
R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\system32\drivers\A311.sys [2002-10-25 09:03]
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys [2002-10-25 09:03]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2002-11-08 11:50]
S2 BBDemon;Backbone Service;c:\studium\Catia\intel_a\code\bin\CATSysDemon.exe []
S3 DOSMEMIO;MEMIO;C:\windiag\MEMIO.SYS []
S3 Sonstipl;Sonstipl;C:\WINDOWS\System32\ipconfig.exe [2004-08-04 09:57]
S3 SWLD12;SAMSUNG 11Mbps WLAN MiniPCI/PCI Card;C:\WINDOWS\system32\DRIVERS\swld12.sys [2002-08-23 08:40]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-03-10 19:57:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-10 19:57:42
ComboFix-quarantined-files.txt 2008-03-10 18:57:42
HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:04, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OSS] C:\windows\system32\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: pdfXPro.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: RegisteringCatia.lnk = C:\Studium\Catia\INSTALL.bat
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/12856badf7372c18d514/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124549638917
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - h**p://www.stardialer.de/install/StarInstall.ocx
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Backbone Service (BBDemon) - Unknown owner - c:\studium\Catia\intel_a\code\bin\CATSysDemon.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 7197 bytes
datfind.bat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D85A-A2A2
Verzeichnis von c:\
10.03.2008 20:08 0 dirdat.txt
10.03.2008 19:57 5.961 ComboFix.txt
10.03.2008 19:37 527.421.440 hiberfil.sys
10.03.2008 19:37 792.723.456 pagefile.sys
18 Datei(en) 1.320.815.943 Bytes
0 Verzeichnis(se), 18.599.641.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D85A-A2A2
Verzeichnis von C:\WINDOWS\system32
10.03.2008 19:37 1.158 wpa.dbl
12.11.2007 19:17 156.360 FNTCACHE.DAT
2096 Datei(en) 382.426.994 Bytes
0 Verzeichnis(se), 18.598.592.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D85A-A2A2
Verzeichnis von C:\WINDOWS
10.03.2008 19:57 274 system.ini
10.03.2008 19:49 8.986 ModemLog_SENS LT56ADW Modem.txt
10.03.2008 19:40 0 0.log
10.03.2008 19:39 159 wiadebug.log
10.03.2008 19:38 65 iTouch.ini
10.03.2008 19:38 54.156 QTFont.qfn
10.03.2008 19:37 2.048 bootstat.dat
28.02.2008 20:31 32.334 SchedLgU.Txt
28.02.2008 20:31 1.953.262 WindowsUpdate.log
28.02.2008 20:31 50 wiaservc.log
28.02.2008 20:10 1.409 QTFont.for
25.02.2008 19:55 1.279 win.ini
02.01.2008 18:52 427.175 setupapi.log
02.01.2008 18:48 84.455 iis6.log
02.01.2008 18:48 542.582 FaxSetup.log
02.01.2008 18:48 191.534 comsetup.log
02.01.2008 18:48 24.435 ocmsn.log
02.01.2008 18:48 1.355 imsins.log
02.01.2008 18:48 115.892 ntdtcsetup.log
02.01.2008 18:48 5.415 KB909394.log
02.01.2008 18:48 215.446 tsoc.log
02.01.2008 18:48 253.351 ocgen.log
02.01.2008 18:48 27.676 msgsocm.log
02.01.2008 18:48 7.956 KB894476.log
02.01.2008 18:48 1.355 imsins.BAK
215 Datei(en) 19.093.978 Bytes
0 Verzeichnis(se), 18.599.542.784 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D85A-A2A2
Verzeichnis von C:\DOKUME~1\E****U~1\LOKALE~1\Temp
10.03.2008 20:06 512 ~DF548E.tmp
10.03.2008 20:06 512 ~DF5EBE.tmp
10.03.2008 20:03 48 WcesView.log
28.02.2008 20:30 10.940 WCESLog.log
4 Datei(en) 12.012 Bytes
0 Verzeichnis(se), 18.599.542.784 Bytes frei
Vielen Dank für die Hilfe und Gruß
Schlaubi