System Alert! Weiß nicht wie ich den Vrius wegkriegen soll. |
||
---|---|---|
#0
| ||
21.05.2008, 21:52
Member
Beiträge: 15 |
||
|
||
21.05.2008, 23:34
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Massimo
1. wende cleaner an http://www.ccleaner.de/?protecus.de 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor die genannten Einträge und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=23. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\Programme\Share_Accelerator_MMKlicke auf den Roten MoveIt! »» poste, was rechts im Fenster erscheint. ----------------------- 4. wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html 5. wende smitfraudfix an (option 2) + poste den report http://virus-protect.org/artikel/tools/smitfrautfix.html 6. wende Combofix an + klicke die Warnmeldung weg + poste den kompletten Report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2008, 13:33
Member
Themenstarter Beiträge: 15 |
#3
Danke!
Das erscheint nach dem MoveIt im rechten Fenster: File/Folder C:\Programme\Share_Accelerator_MM not found. File/Folder C:\Programme\securedie not found. File/Folder C:\Dokumente und Einstellungen\Maxim Gaube\ksflke.exe not found. File/Folder C:\Programme\Software4u not found. File/Folder C:\Programme\Gemeinsame Dateien\DiskRetter not found. File/Folder C:\Programme\ShoppingReport not found. File/Folder C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\ErrorSafeGermanNewReleaseInstall.exe not found. File/Folder C:\WINDOWS\system32\mysidesearch_sidebar.dll not found. File/Folder C:\WINDOWS\vbksrofa.dll not found. File/Folder C:\WINDOWS\pvnsmfor.dll not found. File/Folder C:\WINDOWS\system32\nss15.dll not found. File/Folder C:\WINDOWS\system32\iebrowserc.dll not found. File/Folder C:\WINDOWS\system32\adssite_sidebar.dll not found. File/Folder C:\WINDOWS\fvowketqfgq.dll not found. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05222008_133124 |
|
|
||
22.05.2008, 15:57
Ehrenmitglied
Beiträge: 29434 |
#4
4.
wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html 5. wende smitfraudfix an (option 2) + poste den report http://virus-protect.org/artikel/tools/smitfrautfix.html 6. wende Combofix an + klicke die Warnmeldung weg + poste den kompletten Report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2008, 16:13
Member
Themenstarter Beiträge: 15 |
#5
4. oder 5. funktioniert bei mir nicht, das Fenster öffnet sich und is gleich wieder weg. Aber bisher hat er keine Virenmeldungen mehr angezeigt, und der pc läuft auch wieder schneller als vorher.
|
|
|
||
22.05.2008, 16:30
Ehrenmitglied
Beiträge: 29434 |
#6
wende otscanit an + poste den report
http://virus-protect.org/artikel/tools/otscanit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2008, 16:44
Member
Themenstarter Beiträge: 15 |
#7
Hat jetzt dich mit Smitfraudix geklappt, hier ist der Report:
SmitFraudFix v2.320 Scan done at 16:35:55,04, 22.05.2008 Run from C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
22.05.2008, 18:17
Ehrenmitglied
Beiträge: 29434 |
#8
nun schau, ob combofix auch funktioiert.
wende Combofix an + klicke die Warnmeldung weg + poste den kompletten Report http://virus-protect.org/artikel/tools/combofix.html falls nicht, ändere die ComboFix.exe in ComboFix.com um. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2008, 20:52
Member
Themenstarter Beiträge: 15 |
#9
Das ist der Report von Combofix:
ComboFix 08-05-21.3 - Maxim Gaube 2008-05-22 20:47:59.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.713 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\urlredir.cfg . ((((((((((((((((((((((( Dateien erstellt von 2008-04-22 bis 2008-05-22 )))))))))))))))))))))))))))))) . 2008-05-22 16:35 . 2008-05-22 16:35 1,238 --a------ C:\WINDOWS\system32\tmp.reg 2008-05-22 16:20 . 2007-06-11 19:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-22 16:20 . 2007-06-11 20:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-05-22 16:20 . 2007-06-11 20:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-22 16:20 . 2008-05-22 20:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-22 16:20 . 2007-06-11 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-22 16:20 . 2007-06-11 20:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-22 16:20 . 2007-06-11 20:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-22 16:20 . 2008-05-22 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-22 16:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-05-22 16:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-05-22 16:17 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-05-22 16:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-05-22 16:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-05-22 16:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-05-22 16:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-05-22 16:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-05-22 13:30 . 2008-05-22 13:30 <DIR> d-------- C:\_OTMoveIt 2008-05-21 21:38 . 2008-05-21 21:38 <DIR> d-------- C:\Programme\Trend Micro 2008-05-21 21:14 . 2008-05-21 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software4u 2008-05-21 21:14 . 2008-05-21 21:15 12,983 --a------ C:\WINDOWS\system32\msdx92.dll 2008-05-21 21:13 . 2008-05-21 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\Software4u 2008-05-21 20:59 . 2008-05-21 20:59 335 --a------ C:\WINDOWS\mozregistry.dat 2008-05-19 17:26 . 2008-05-22 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\TmpRecentIcons 2008-05-19 16:01 . 2008-05-19 16:01 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-19 16:01 . 2008-05-19 16:01 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-19 15:57 . 2008-05-17 01:58 159,744 --a------ C:\WINDOWS\emxa.exe 2008-05-19 15:57 . 2008-05-17 01:59 102,400 --a------ C:\WINDOWS\oadkxrts.exeRVAXO 2008-05-12 13:33 . 2008-05-12 13:33 <DIR> d-------- C:\Programme\Veoh Networks 2008-05-12 10:02 . 2008-05-12 10:02 <DIR> d-------- C:\Programme\EA SPORTS 2008-05-01 11:53 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-05-01 11:52 . 2008-05-01 11:53 <DIR> d-------- C:\Programme\Java 2008-05-01 11:51 . 2008-05-01 11:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-12 11:34 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-09 13:39 --------- d-----w C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\phonostar-Player 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-24 18:32 --------- d-----w C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\Skype 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-11 07:47 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-03-09 11:56 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-12-24 10:25 386 ----a-w C:\Dokumente und Einstellungen\Maxim Gaube\endufi.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-08 01:24 7557120] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "VIDC.MJPG"= Pvmjpg30.dll "vidc.yv12"= yv12vfw.dll "msacm.ac3filter"= ac3filter.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Pinnacle\\programs\\RM.exe"= "C:\\Programme\\Pinnacle\\programs\\Studio.exe"= "C:\\Programme\\Pinnacle\\programs\\PMSRegisterFile.exe"= "C:\\Programme\\Pinnacle\\programs\\umi.exe"= "D:\\Dateien\\Mediator\\medi8or.exe"= "E:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "E:\\Programme\\System\\ArmyOps.exe"= "E:\\Programme\\mIRC\\mirc.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "E:\\Programme\\SopCast\\adv\\SopAdver.exe"= "E:\\Programme\\SopCast\\SopCast.exe"= "E:\\Programme\\uusee\\UUSeePlayer.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= S3 pnicml;pnicml;C:\DOKUME~1\MAXIMG~1\LOKALE~1\Temp\pnicml.sys [] S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys [] S4 NMSAccessU;NMSAccessU;C:\Dokumente und Einstellungen\Maxim Gaube\Lokale Einstellungen\Temp\{980F860B-49BE-4768-B080-B41B47381F60}\NMSAccessU.exe [] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-22 20:49:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-22 20:49:57 ComboFix-quarantined-files.txt 2008-05-22 18:49:54 8 Verzeichnis(se), 14,900,592,640 Bytes frei 11 Verzeichnis(se), 14,960,300,032 Bytes frei 115 --- E O F --- 2008-05-22 12:09:15 Ich hab da noch entdeckt, dass auf meinem pc ein anderes Benutzerkontto ist, mit Admin-Status, und ich kann mich nicht erinnern es erstellt zu haben. Kann das mit dem Virus zu tun haben? |
|
|
||
22.05.2008, 21:19
Ehrenmitglied
Beiträge: 29434 |
#10
««
http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\emxa.exeKlicke auf den Roten MoveIt! « poste, was rechts im Fenster erscheint «« wende comboscan -Deckard's System Scanner- an + poste die 2 logs http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2008, 13:01
Member
Themenstarter Beiträge: 15 |
#11
Das erscheint nach dem MoveIt:
File/Folder C:\WINDOWS\emxa.exe not found. File/Folder C:\WINDOWS\oadkxrts.exeRVAXO not found. File/Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software4u not found. File/Folder C:\Dokumente und Einstellungen\Maxim Gaube\endufi.exe not found. File/Folder C:\Dokumente und Einstellungen\Maxim Gaube\Anwendungsdaten\Software4u not found. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05232008_125514 Und das ist der erste Log comboscan: Deckard's System Scanner v20071014.68 Run by Maxim Gaube on 2008-05-23 12:57:23 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 65: 2008-05-23 10:57:27 UTC - RP259 - Deckard's System Scanner Restore Point 64: 2008-05-22 18:47:42 UTC - RP258 - ComboFix created restore point 63: 2008-05-22 12:07:33 UTC - RP257 - Software Distribution Service 3.0 62: 2008-05-19 14:17:50 UTC - RP256 - Systemprüfpunkt 61: 2008-05-17 16:02:28 UTC - RP255 - Systemprüfpunkt -- First Restore Point -- 1: 2008-02-24 09:49:45 UTC - RP195 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as Maxim Gaube.exe) ----------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:57:52, on 23.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\dss.exe C:\PROGRA~1\TRENDM~1\HIJACK~1\Maxim Gaube.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8C9B51-0F8B-4A1F-8F46-DFA19C397AE2}: NameServer = 213.191.74.18 62.109.123.196 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe -- End of file - 2228 bytes -- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) ----------- backup-20080522-132627-158 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) backup-20080522-132627-209 O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll backup-20080522-132627-455 O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll backup-20080522-132627-482 R3 - URLSearchHook: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll backup-20080522-132627-514 O2 - BHO: adssite - {100ac226-57ef-095c-79c0-67e59edd3311} - C:\WINDOWS\system32\nsa34.dll (file missing) backup-20080522-132627-586 O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll backup-20080522-132627-588 O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll backup-20080522-132627-691 O2 - BHO: Rates - {0EB6AF05-AB7F-47C2-8ABC-9B985FE27A69} - C:\WINDOWS\toprates.dll (file missing) backup-20080522-132627-702 R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll backup-20080522-132627-759 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll backup-20080522-132627-767 O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nss15.dll backup-20080522-132627-781 O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing) backup-20080522-132627-847 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 backup-20080522-132627-877 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll backup-20080522-132627-980 O2 - BHO: QXK Rhythm - {132F969E-2442-47BE-8CC8-955483AF951B} - C:\WINDOWS\fvowketqfgq.dll backup-20080522-132628-113 O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://massimo-135.spaces.live.com/PhotoUpload/MsnPUpld.cab backup-20080522-132628-137 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe backup-20080522-132628-142 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing) backup-20080522-132628-195 O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background backup-20080522-132628-201 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit backup-20080522-132628-223 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe backup-20080522-132628-240 O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg backup-20080522-132628-251 O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\ErrorSafeGermanNewReleaseInstall.exe" -nag backup-20080522-132628-275 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe backup-20080522-132628-308 O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe backup-20080522-132628-315 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE backup-20080522-132628-331 O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe backup-20080522-132628-351 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE backup-20080522-132628-355 O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe backup-20080522-132628-361 O21 - SSODL: mpfanvqg - {635ECE21-B450-4B3E-9E85-74C078F2581F} - C:\WINDOWS\mpfanvqg.dll (file missing) backup-20080522-132628-365 O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8C9B51-0F8B-4A1F-8F46-DFA19C397AE2}: NameServer = 213.191.74.18 62.109.123.196 backup-20080522-132628-390 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" backup-20080522-132628-398 O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol 120\axcmd.exe" /automount backup-20080522-132628-402 O23 - Service: NMSAccessU - Unknown owner - C:\Dokumente und Einstellungen\Maxim Gaube\Lokale Einstellungen\Temp\{980F860B-49BE-4768-B080-B41B47381F60}\NMSAccessU.exe (file missing) backup-20080522-132628-432 O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\DiskRetter\strpmon.exe" dm=http://diskretter.com; ad=http://diskretter.com backup-20080522-132628-435 O21 - SSODL: vbksrofa - {DED9D474-C239-4EBE-9274-226E7DABCC54} - C:\WINDOWS\vbksrofa.dll backup-20080522-132628-443 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe backup-20080522-132628-456 O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll backup-20080522-132628-457 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL backup-20080522-132628-464 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime backup-20080522-132628-507 O4 - HKCU\..\Run: [PhonostarTimer] E:\Programme\phonostar\ps_timer.exe backup-20080522-132628-517 O2 - BHO: MySidesearch Search Assistant - {DDFA1356-E6ED-42a5-9D62-93211D424A90} - C:\WINDOWS\system32\mysidesearch_sidebar.dll backup-20080522-132628-522 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k backup-20080522-132628-526 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min backup-20080522-132628-535 O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll backup-20080522-132628-538 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll backup-20080522-132628-622 O4 - HKLM\..\Run: [Windows Service] C:\Dokumente und Einstellungen\Maxim Gaube\ksflke.exe backup-20080522-132628-629 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') backup-20080522-132628-638 O3 - Toolbar: pvnsmfor - {CB07D6A9-7491-4A84-B8E8-E846CC689DDC} - C:\WINDOWS\pvnsmfor.dll backup-20080522-132628-652 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe backup-20080522-132628-665 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe backup-20080522-132628-727 O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll backup-20080522-132628-729 O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe backup-20080522-132628-750 O4 - HKLM\..\Run: [Software4u-UpdateServer] C:\Programme\Software4u\Registry CleanUP 2008\Software4u.UpdateServer.exe backup-20080522-132628-755 O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll backup-20080522-132628-764 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') backup-20080522-132628-768 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe backup-20080522-132628-804 O3 - Toolbar: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll backup-20080522-132628-810 O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S8B.tmp" /EF "HKLM" backup-20080522-132628-870 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install backup-20080522-132628-911 O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe backup-20080522-132628-925 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe backup-20080522-132628-928 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup backup-20080522-132628-956 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') backup-20080522-132628-963 O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll backup-20080522-132628-977 O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide backup-20080522-132628-981 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing) backup-20080522-132628-988 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') backup-20080522-132628-998 O2 - BHO: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll -- File Associations ----------------------------------------------------------- All associations okay. Und das ist der 2. Log von comboscan: Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Home Edition (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: AMD Athlon(tm) 64 Processor 3500+ Percentage of Memory in Use: 29% Physical Memory (total/avail): 1023.48 MiB / 720.23 MiB Pagefile Memory (total/avail): 2460.29 MiB / 2214.69 MiB Virtual Memory (total/avail): 2047.88 MiB / 1941.77 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 34.18 GiB total, 13.92 GiB free. D: is Fixed (NTFS) - 98.64 GiB total, 21.79 GiB free. E: is Fixed (NTFS) - 100.06 GiB total, 79.09 GiB free. F: is CDROM (UDF) G: is CDROM (No Media) \\.\PHYSICALDRIVE0 - SAMSUNG SP2504C - 232.88 GiB - 3 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 34.18 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 198.7 GiB - D: - E: -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. Windows Internal Firewall is enabled. FirstRunDisabled is set. AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Pinnacle\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\programs\\RM.exe:*:Enabled:Render Manager" "C:\\Programme\\Pinnacle\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\programs\\Studio.exe:*:Enabled:Studio" "C:\\Programme\\Pinnacle\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\programs\\PMSRegisterFile.exe:*:EnabledMSRegisterFile" "C:\\Programme\\Pinnacle\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\programs\\umi.exe:*:Enabled:umi" "D:\\Dateien\\Mediator\\medi8or.exe"="D:\\Dateien\\Mediator\\medi8or.exe:*:Enabled:Mediator" "E:\\Programme\\BearShare\\BearShare.exe"="E:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "E:\\Programme\\System\\ArmyOps.exe"="E:\\Programme\\System\\ArmyOps.exe:*:Enabled:ArmyOps" "E:\\Programme\\mIRC\\mirc.exe"="E:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath " "E:\\Programme\\SopCast\\adv\\SopAdver.exe"="E:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver" "E:\\Programme\\SopCast\\SopCast.exe"="E:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application" "E:\\Programme\\uusee\\UUSeePlayer.exe"="E:\\Programme\\uusee\\UUSeePlayer.exe:*:Enabled:UUPlayer" "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client" -- User Profiles --------------------------------------------------------------- Maxim Gaube (admin) Administrator (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Photoshop 7.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll" Adobe Reader 6.0.1 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A00000000001} Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log America's Army --> MsiExec.exe /I{656D5B05-0409-41EE-BBEE-D9C4D6388972} ANNO 1602 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F7CAD9-2316-4701-B5CA-E90FD60029E9}\SETUP.exe" Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE BearShare --> E:\PROGRA~1\BEARSH~1\UNWISE.EXE E:\PROGRA~1\BEARSH~1\INSTALL.LOG Browser Optimizer Adssite --> C:\WINDOWS\system32\adssite-remove.exe Die Sims - Tierisch gut drauf --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7C32C567-DC0F-4C80-B06C-7873850A2E06}\setup.exe" -l0007 DiscAPI (Studio 10) --> MsiExec.exe /X{A77F3C2D-50CC-4A29-A1FB-1E018BE4DCA2} DVD Decrypter (Remove Only) --> "E:\Programme\DVD Decrypter\uninstall.exe" EA SPORTS online 2007 --> E:\Programme\EASOUNInstaller.exe eJay HipHop 6 Demo --> C:\Programme\InstallShield Installation Information\{05604218-C047-4AD9-BB53-FE0638166553}\setup.exe -runfromtemp -l0x0407 EPSON-Drucker-Software --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R EPSON Attach To Email --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG EPSON Easy Photo Print --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BC69DDB8-4840-4D9B-BB31-0D4DB2BA1312}\SETUP.EXE" -l0x7 UNINST EPSON File Manager --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E86BC406-944E-41F6-ADE6-2C136734C96B}\Setup.exe" -l0x7 UNINST EPSON Scan Assistant --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x7 -u EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything ESC79_D78 Benutzerhandbuch --> C:\Programme\EPSON\TPMANUAL\ESC79_D78\DEU\USE_G\DOCUNINS.EXE FIFA 07 --> C:\Programme\EA SPORTS\FIFA 07\EAUninstall.exe Grand Theft Auto San Andreas --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{086BADF8-9B1F-4E89-B207-2EDA520972D6}\setup.exe" -l0x7 -removeonly HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} K-Lite Codec Pack 3.2.5 Full --> "C:\Programme\K-Lite Codec Pack\unins000.exe" MatchWare Mediator 8.0 Pro --> MsiExec.exe /I{5E1CE892-C500-4319-8020-97327DE32810} Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft SQL Server Desktop Engine (PINNACLESYS) --> MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A} Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Word 2000 SR-1 --> MsiExec.exe /I{00170407-78E1-11D2-B60F-006097C998E7} Microsoft Works 2001-Setup-Start --> C:\Programme\Microsoft Works Suite 2001\Setup\Launcher.exe F:\ mIRC --> E:\Programme\mIRC\uninstall.exe _?=E:\Programme\mIRC Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe MySidesearch Search Assistant Adssite --> C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID="" NVIDIA Drivers --> C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI phonostar-Player Version 2.01.0 --> "E:\Programme\phonostar\unins000.exe" PIF DESIGNER --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B90450DF-E781-46FD-B1F1-0C86DA40E443}\SETUP.EXE" -l0x7 anything Pinnacle Instant DVD Recorder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EF781A5C-58F5-4BFD-87F9-E4F14D382F25}\setup.exe" -l0x7 UNINSTALL Pinnacle MediaServer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{460CE8B9-6EC2-458A-90D4-691631ECE9D9}\setup.exe" -l0x7 UNINSTALL Pivot Stickfigure Animator --> MsiExec.exe /I{BEAD39CD-901D-4267-8B8B-EAA83CB4B70D} proDAD Heroglyph 2.5 --> "C:\Programme\proDAD\Heroglyph-2.5\uninstall.exe" uninstall spcp PATHVERSION 2.5 MAINNAME Heroglyph QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{C21D5524-A970-42FA-AC8A-59B8C7CDCA31} /l1031 RAPID (Studio 10) --> MsiExec.exe /X{EEECE229-49F6-4851-A73A-99B058221F8C} Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x7 -removeonly Rightonadz Browser Optimizer --> C:\WINDOWS\system32\gzmrot-uninst.exe Search Assistant Adssite --> C:\WINDOWS\system32\adssite_sidebar_uninstall.exe Secured Internet Explorer --> C:\PROGRA~1\SECURE~1\UNWISE.EXE C:\PROGRA~1\SECURE~1\INSTALL.LOG securedie Toolbar --> C:\PROGRA~1\SECURE~2\UNWISE.EXE C:\PROGRA~1\SECURE~2\INSTALL.LOG Share Accelerator MM Toolbar --> C:\PROGRA~1\SHARE_~1\UNWISE.EXE Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} SmartSound Quicktracks Plugin --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} Socialnetworking Helper Adssite --> C:\WINDOWS\system32\AdssiteSocial-uninstall.exe SopCast 3.0.3 --> E:\Programme\SopCast\uninst.exe Studio 10 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3CB05291-F546-458E-A796-B5BCF5A3CDC4}\Setup2.exe" -l0x7 UNINSTALL Studio 10 Bonus DVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6A012D9C-2E2E-405A-B87C-E909F5297C3F}\Setup.exe" -l0x7 UNINSTALL UUSEE 4.2.21 °æ --> "E:\Programme\uusee\unins000.exe" VeohTV BETA --> C:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409 WavePad Uninstall --> C:\Programme\NCH Swift Sound\WavePad\uninst.exe Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C} Windows Live Sign-in Assistant --> MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7} Windows Media Format 11 runtime --> -- Application Event Log ------------------------------------------------------- Event Record #/Type7514 / Warning Event Submitted/Written: 05/23/2008 00:52:22 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Vapsup.fjcC:\WINDOWS\oadkxrts.exeRVAXO Event Record #/Type7513 / Warning Event Submitted/Written: 05/23/2008 00:52:17 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Vapsup.fjfC:\WINDOWS\emxa.exe Event Record #/Type7509 / Warning Event Submitted/Written: 05/23/2008 00:44:38 PM Event ID/Source: 19011 / MSSQL$PINNACLESYS Event Description: (SpnRegister) : Error 1355 Event Record #/Type7507 / Warning Event Submitted/Written: 05/22/2008 10:25:04 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Vapsup.fjbC:\System Volume Information\_restore{259FE281-AF67-4ACC-8EAA-5BAEE2D60D63}\RP256\A0120559.dll Event Record #/Type7503 / Warning Event Submitted/Written: 05/22/2008 08:56:30 PM Event ID/Source: 19011 / MSSQL$PINNACLESYS Event Description: (SpnRegister) : Error 1355 -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type33936 / Warning Event Submitted/Written: 05/23/2008 00:44:27 PM Event ID/Source: 1007 / Dhcp Event Description: Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00161748D868 wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.2.95. Event Record #/Type33935 / Warning Event Submitted/Written: 05/23/2008 00:43:18 PM / 05/23/2008 00:43:42 PM Event ID/Source: 51 / Disk Event Description: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk0\D. Event Record #/Type33934 / Warning Event Submitted/Written: 05/23/2008 00:43:18 PM / 05/23/2008 00:43:42 PM Event ID/Source: 51 / Disk Event Description: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk0\D. Event Record #/Type33933 / Warning Event Submitted/Written: 05/23/2008 00:43:18 PM / 05/23/2008 00:43:42 PM Event ID/Source: 51 / Disk Event Description: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk0\D. Event Record #/Type33932 / Warning Event Submitted/Written: 05/23/2008 00:43:18 PM / 05/23/2008 00:43:42 PM Event ID/Source: 51 / Disk Event Description: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk0\D. -- End of Deckard's System Scanner: finished at 2008-05-23 12:58:20 ------------ Was ist mit diesem anderen Benutzerkonto, von dem ich oben schon geschrieben habe? |
|
|
||
23.05.2008, 13:55
Ehrenmitglied
Beiträge: 29434 |
#12
««
http://virus-protect.org/artikel/tools/gvkiller.html Doppelklick GV-Killer und TextEditor wird sich öffnen kopiere das Unterstehende rein: Zitat C:\Programme\securediespeichere die Daten (Speichern als...) input.txt - Speichern Klicke "Kill on reboot" und lass den Rechner neu starten «« du hast wahrscheinlich ein Adminkonto auf deinen Namen, das andere ist das normale Adminkonto... (?) Maxim Gaube (admin) Administrator (admin) «« scanne mit counterspy + poste den report hier http://virus-protect.org/counterspy1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2008, 14:21
Member
Themenstarter Beiträge: 15 |
#13
Hier ist der Counterspy Report:
----------------------------------------------------------- CounterSpy Enterprise 3.0 Readme File ----------------------------------------------------------- edit (Sabina) Ich kann dieses Admin Konto aber nich löschen, weil es, wenn ich in mein Konto gehe unter "Benutzerkonten" garnicht zu sehen ist. |
|
|
||
23.05.2008, 15:59
Ehrenmitglied
Beiträge: 29434 |
#14
«
der counterspyreport...war nicht der richtige, ich will gern einen scanreport sehen « wenn ich in meinem normalen Userkonto bin, kann ich das Adminkonto auch nicht sehen. boote in den abgesicherten Modus und berichte, ob du dort dieses Adminkonto, ohne weiteren namen findest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2008, 12:41
Member
Themenstarter Beiträge: 15 |
#15
Wo steht denn dieser scan report, wenn ich scanne steht da immer etwas in einem Fenster, was ich aber nicht kopieren kann.
|
|
|
||
drinne steht. Es kommen auch noch andere Meldungen immer zwischendurch.
Ich kenne mich nich so gut aus mit pc's. Hab hier mal die Logfiles (wenn man das so nennt) von hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:29, on 21.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\phonostar\ps_timer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral.c/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
R3 - URLSearchHook: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Rates - {0EB6AF05-AB7F-47C2-8ABC-9B985FE27A69} - C:\WINDOWS\toprates.dll (file missing)
O2 - BHO: adssite - {100ac226-57ef-095c-79c0-67e59edd3311} - C:\WINDOWS\system32\nsa34.dll (file missing)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O2 - BHO: QXK Rhythm - {132F969E-2442-47BE-8CC8-955483AF951B} - C:\WINDOWS\fvowketqfgq.dll
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nss15.dll
O2 - BHO: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll
O2 - BHO: MySidesearch Search Assistant - {DDFA1356-E6ED-42a5-9D62-93211D424A90} - C:\WINDOWS\system32\mysidesearch_sidebar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O3 - Toolbar: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Programme\securedie\tbsec1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: pvnsmfor - {CB07D6A9-7491-4A84-B8E8-E846CC689DDC} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S8B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\Maxim Gaube\Desktop\ErrorSafeGermanNewReleaseInstall.exe" -nag
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\DiskRetter\strpmon.exe" dm=http://diskretter.com; ad=http://diskretter.com
O4 - HKLM\..\Run: [Windows Service] C:\Dokumente und Einstellungen\Maxim Gaube\ksflke.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Software4u-UpdateServer] C:\Programme\Software4u\Registry CleanUP 2008\Software4u.UpdateServer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] E:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://massimo-135.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8C9B51-0F8B-4A1F-8F46-DFA19C397AE2}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mpfanvqg - {635ECE21-B450-4B3E-9E85-74C078F2581F} - C:\WINDOWS\mpfanvqg.dll (file missing)
O21 - SSODL: vbksrofa - {DED9D474-C239-4EBE-9274-226E7DABCC54} - C:\WINDOWS\vbksrofa.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Dokumente und Einstellungen\Maxim Gaube\Lokale Einstellungen\Temp\{980F860B-49BE-4768-B080-B41B47381F60}\NMSAccessU.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
--
End of file - 9034 bytes
Hoffe ihr könnt damit was anfangen un mir helfen!