IE Explorer öffnet ständig neue Seiten, Vista

#1 Hallo Foris,

habe das o.g. Problem, trat auf einmal auf, AD-Aware und Antivir können mir nicht helfen, hier ist der Logfile von HiJackThis, bitte um eure Hilfe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34:56, on 25.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
E:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\3gp Player\3gpPlayer.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Users\Anja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT571MG4\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\PROGRA~2\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [3gp Player] "C:\Program Files\3gp Player\3gpPlayer.exe" hmw
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqnbk/downloads/sysinfo.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11195 bytes



Vielen Dank.

lg paradoxxxa

#2 Hallo, paradoxxxa

wende navilog option 1 an + poste den report
http://virus-protect.org/artikel/tools/navilog.html

entferne mit cleaner die temporären Dateien
http://www.ccleaner.de/?protecus.de

wende combofix an (klicke die Warnmeldung bitte weg) + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Search Navipromo version 3.5.9 began on 25.06.2008 at 12:19:13,03

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Program Files\navilog1
Actual User Account : "Anja"

Updated on 24.06.2008 at 18h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Version Internet Explorer : 7.0.6000.16681
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\users\anja\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Anja\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\Anja\AppData\Roaming" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Anja\AppData\Local\Microsoft" *

* Scan in "C:\Users\Anja\AppData\Local" *



*** Search files ***

Jetzt muss ich erst neu starten...

temp. Dateien gelöscht....

ComboFix 08-06-20.4 - Anja 2008-06-25 13:23:34.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1149 [GMT 2:00]
ausgeführt von:: C:\Users\Anja\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-25 bis 2008-06-25 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 11:06 --------- d-----w C:\Program Files\Navilog1
2008-06-25 10:23 --------- d-----w C:\Program Files\CCleaner
2008-06-25 09:14 --------- d-----w C:\Program Files\Sophos
2008-06-25 09:05 --------- d-----w C:\Program Files\CleanUp!
2008-06-25 08:17 --------- d-----w C:\Program Files\Panda Security
2008-06-23 12:38 12,978 ----a-w C:\Users\Anja\AppData\Roaming\nvModes.dat
2008-06-23 07:13 96,520 ----a-w C:\Windows\system32\drivers\avgldx86.sys
2008-06-23 07:13 69,128 ----a-w C:\Windows\system32\drivers\avgwfpx.sys
2008-06-23 07:13 12,936 ----a-w C:\Windows\system32\drivers\avgrkx86.sys
2008-06-23 07:13 10,520 ----a-w C:\Windows\System32\avgrsstx.dll
2008-06-23 07:13 --------- d-----w C:\ProgramData\avg8
2008-06-23 07:13 --------- d-----w C:\Program Files\AVG
2008-06-22 14:03 --------- d-----w C:\ProgramData\Lavasoft
2008-06-22 14:01 --------- d-----w C:\Program Files\Lavasoft
2008-06-22 14:00 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-06-19 16:27 --------- d-----w C:\Program Files\Nero
2008-06-19 16:10 --------- d-----w C:\Users\Anja\AppData\Roaming\Ahead
2008-06-19 14:20 --------- d-----w C:\ProgramData\Ahead
2008-06-19 14:19 --------- d-----w C:\Program Files\Common Files\Ahead
2008-06-19 14:16 --------- d-----w C:\ProgramData\Nero
2008-06-18 07:42 1,552,648 ----a-w C:\Windows\CISUnins.exe
2008-06-18 07:42 1,552,648 ----a-w C:\Windows\CICUnins.exe
2008-06-16 15:28 --------- d-----w C:\Users\Anja\AppData\Roaming\ICQ
2008-06-16 15:24 --------- d-----w C:\Program Files\ICQ6
2008-06-13 06:08 --------- d-----w C:\ProgramData\Microsoft Help
2008-06-12 13:08 --------- d-----w C:\ProgramData\ElsterFormular
2008-06-12 11:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-12 11:41 --------- d-----w C:\Program Files\ElsterFormular
2008-06-12 05:19 --------- d-----w C:\Program Files\Windows Mail
2008-06-10 17:47 --------- d-----w C:\Users\Anja\AppData\Roaming\Leadertech
2008-06-01 08:15 --------- d-----w C:\ProgramData\Apple Computer
2008-06-01 08:15 --------- d-----w C:\ProgramData\Apple
2008-06-01 08:15 --------- d-----w C:\Program Files\QuickTime
2008-06-01 08:15 --------- d-----w C:\Program Files\Apple Software Update
2008-05-31 16:44 --------- d-----w C:\Program Files\Reganam
2008-05-31 16:44 --------- d-----w C:\Program Files\Conduit
2008-05-30 05:34 --------- d-----w C:\ProgramData\Office Genuine Advantage
2008-05-27 11:54 --------- d-----w C:\Users\Anja\AppData\Roaming\Sony
2008-05-27 11:54 --------- d-----w C:\ProgramData\Sony
2008-05-27 11:21 --------- d-----w C:\Program Files\Sony Ericsson
2008-05-25 19:38 --------- d-----w C:\Users\Anja\AppData\Roaming\Roxio
2008-05-25 19:38 --------- d-----w C:\ProgramData\Sonic
2008-05-24 18:16 --------- d-----w C:\ProgramData\FreePDF
2008-05-24 06:30 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-05-24 06:30 --------- d-----w C:\Program Files\3gp Player
2008-05-21 20:56 --------- d-----w C:\Program Files\ICQToolbar
2008-05-18 04:38 --------- d-----w C:\Users\Anja\AppData\Roaming\CyberLink
2008-05-18 01:30 174 --sha-w C:\Program Files\desktop.ini
2008-05-17 11:18 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-17 09:14 --------- d-----w C:\ProgramData\FLEXnet
2008-05-17 08:54 --------- d-----w C:\Program Files\Bonjour
2008-05-17 08:41 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-05-17 08:09 --------- d-----w C:\Program Files\Microsoft Works
2008-05-17 07:41 --------- d-----w C:\Program Files\Picture It! Premium 10
2008-05-17 07:20 --------- d-----w C:\Program Files\Microsoft Works Suite 2005
2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2008-05-16 05:01 1,585,664 ----a-w C:\Windows\System32\setupapi.dll
2008-05-15 20:16 --------- d-----w C:\Program Files\Garmin GPS Plugin
2008-05-15 13:18 --------- d-----w C:\Program Files\TweakNow RegCleaner Std
2008-05-15 11:56 --------- d-----w C:\Users\Anja\AppData\Roaming\GARMIN
2008-05-15 11:56 --------- d-----w C:\ProgramData\GARMIN
2008-05-14 12:42 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-05-14 12:42 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-05-14 12:42 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-05-14 12:42 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-05-14 12:42 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-05-14 12:42 104,448 ----a-w C:\Windows\System32\DWWIN.EXE
2008-05-14 12:42 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-05-14 12:41 82,432 ----a-w C:\Windows\system32\drivers\sdbus.sys
2008-05-14 12:41 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-05-14 12:41 13,312 ----a-w C:\Windows\system32\drivers\sffdisk.sys
2008-05-14 12:41 12,800 ----a-w C:\Windows\system32\drivers\sffp_sd.sys
2008-05-14 12:40 57,856 ----a-w C:\Windows\System32\SLUINotify.dll
2008-05-14 12:40 566,784 ----a-w C:\Windows\System32\SLCommDlg.dll
2008-05-14 12:40 39,936 ----a-w C:\Windows\System32\slcinst.dll
2008-05-14 12:40 351,232 ----a-w C:\Windows\System32\SLUI.exe
2008-05-14 12:40 33,280 ----a-w C:\Windows\System32\slwmi.dll
2008-05-14 12:40 268,288 ----a-w C:\Windows\System32\mcbuilder.exe
2008-05-14 12:40 223,232 ----a-w C:\Windows\System32\SLC.dll
2008-05-14 12:40 2,605,568 ----a-w C:\Windows\System32\SLsvc.exe
2008-05-14 12:40 2,048 ----a-w C:\Windows\System32\msxml6r.dll
2008-05-14 12:40 186,368 ----a-w C:\Windows\System32\SLLUA.exe
2008-05-14 12:40 1,335,296 ----a-w C:\Windows\System32\msxml6.dll
2008-05-14 11:27 --------- d-----w C:\Program Files\Google
2008-05-14 05:46 --------- d-----w C:\Program Files\Windows Sidebar
2008-05-14 05:46 --------- d-----w C:\Program Files\Windows Defender
2008-05-14 05:46 --------- d-----w C:\Program Files\Windows Calendar
2008-05-14 05:39 87,040 ----a-w C:\Windows\System32\msoert2.dll
2008-05-14 05:39 39,424 ----a-w C:\Windows\System32\ACCTRES.dll
2008-05-14 05:39 205,824 ----a-w C:\Windows\System32\msoeacct.dll
2008-05-14 05:37 49,664 ----a-w C:\Windows\System32\csrsrv.dll
2008-05-14 05:37 376,320 ----a-w C:\Windows\System32\winsrv.dll
2008-05-14 05:35 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-05-14 05:34 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-05-14 05:33 414,208 ----a-w C:\Windows\System32\msscp.dll
2008-05-14 05:32 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-05-14 05:32 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-05-14 05:32 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-05-14 05:32 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-05-14 05:32 --------- d-----w C:\ProgramData\Symantec
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-05-14 07:20 1232896]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 15:29 360448]
"ClipIncSrvTray"="E:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-06-10 16:56 590600]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"3gp Player"="C:\Program Files\3gp Player\3gpPlayer.exe" [2007-09-20 09:46 634368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-12-07 06:25 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-07 06:25 7766016]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-07 06:25 81920]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 07:02 815104]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-12-03 02:32 167936]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-17 09:11 49152]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 20:58 159744]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 22:39 46704]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 19:56 317152]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 19:32 472800]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-01-19 06:02 77824]
"BVRPLiveUpdate"="C:\Program Files\Avanquest update\Engine\Setup.exe" [ ]
"FreePDF Assistant"="C:\Program Files\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"snpstd3"="C:\Windows\vsnpstd3.exe" [2006-09-19 09:07 827392]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-10-19 20:16 286720]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-06-23 09:13 1231128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="C:\Windows\SMINST\launcher.exe" [2006-11-08 03:39 44128]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-05-17 13:18:22 113664]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 17:55:50 703280]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\Windows\system32\l3codecp.acm
"msacm.l3codec"= C:\Windows\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
--a------ 2008-06-10 16:56 590600 E:\Tobit ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart]
--a------ 2007-08-23 05:58 1891416 C:\Garmin\gStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{A48C03BA-2FCB-43FE-8E68-D5C07EB45395}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{EA52B341-D4A2-41F2-9D55-C39BCE58F04D}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{B4C59B28-70FC-4B35-8AC5-46F2FCF0FCB9}"= TCP:19375|C:\Program Files\devolo\dlanwlancfg\dlanwlancfg.exe:devolo dLAN Wireless extender Konfiguration
"{B4ACEA48-5866-4D5F-9C33-E585DF9C6A75}"= UDP:10300|C:\Program Files\devolo\informer\devinf.exe:devolo Informer
"{18B87DC1-3A47-41DF-AAE6-86621A5D014F}"= TCP:10301|LPort=19375|C:\Program Files\devolo\informer\devinf.exe:devolo Informer
"{7C171C35-1029-4E0B-AD68-C3D128D2A34A}"= TCP:12345|C:\Program Files\devolo\easyshare\easyshare.exe:devolo EasyShare
"{39D51FD0-9670-4775-BB05-ECF2F519A88D}"= UDP:12346|LPort=12347|C:\Program Files\devolo\easyshare\easyshare.exe:devolo EasyShare
"{50C16108-C115-449D-A45A-1675FDC04172}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F389640B-BFFA-4D52-9D35-59633F943493}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{E9AC9AE0-47CE-4E9A-9E77-C3FCAED122B1}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{48CEE999-BCBF-49B1-B538-984506126826}"= UDP:C:\Program Files\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe:Sony Ericsson Media Manager 1.0
"{C2B095DB-8BF0-476B-B6D6-AB3C9E79B69B}"= TCP:C:\Program Files\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe:Sony Ericsson Media Manager 1.0
"{8EC521A6-930F-4017-9E5D-3CFA1C7C9CA0}"= C:\Program Files\AVG\AVG8\avgupd.exe:avgupd.exe
"{E105272D-A1B6-43A7-8E38-2AFC6FC2A07E}"= C:\Program Files\AVG\AVG8\avgnsx.exe:avgnsx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 AvgRkx86;avgrkx86.sys;C:\Windows\system32\Drivers\avgrkx86.sys [2008-06-23 09:13]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\Windows\system32\Drivers\avgldx86.sys [2008-06-23 09:13]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-06-23 09:13]
R2 ClipInc001;ClipInc 001;E:\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);C:\Windows\system32\drivers\npf_devolo.sys [2007-02-07 17:57]
R3 AvgWfpX;AVG8 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfpx.sys [2008-06-23 09:13]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-11-21 14:54]
R3 btwavdt;Bluetooth AVDT Service;C:\Windows\system32\drivers\btwavdt.sys [2006-11-21 14:54]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-21 14:54]
R3 R5U870FLx86;R5U870 UVC Lower Filter ;C:\Windows\system32\Drivers\R5U870FLx86.sys [2006-12-18 22:31]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;C:\Windows\system32\Drivers\R5U870FUx86.sys [2006-12-18 22:31]
S3 MODBDA2;DiBcom MOD3000 TV receiver;C:\Windows\system32\Drivers\yuanmodbda2.sys [2006-10-14 13:36]
S3 MODLOAD2;DVB-T Mobility USB2.0 adapter firmware loader;C:\Windows\system32\DRIVERS\modload2.sys [2007-03-27 06:24]
S3 s217bus;Sony Ericsson Device 217 driver (WDM);C:\Windows\system32\DRIVERS\s217bus.sys [2007-11-02 15:22]
S3 s217mdfl;Sony Ericsson Device 217 USB WMC Modem Filter;C:\Windows\system32\DRIVERS\s217mdfl.sys [2007-11-02 15:22]
S3 s217mdm;Sony Ericsson Device 217 USB WMC Modem Driver;C:\Windows\system32\DRIVERS\s217mdm.sys [2007-11-02 15:22]
S3 s217mgmt;Sony Ericsson Device 217 USB WMC Device Management Drivers (WDM);C:\Windows\system32\DRIVERS\s217mgmt.sys [2007-11-02 15:22]
S3 s217nd5;Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (NDIS);C:\Windows\system32\DRIVERS\s217nd5.sys [2007-11-02 15:22]
S3 s217obex;Sony Ericsson Device 217 USB WMC OBEX Interface;C:\Windows\system32\DRIVERS\s217obex.sys [2007-11-02 15:22]
S3 s217unic;Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (WDM);C:\Windows\system32\DRIVERS\s217unic.sys [2007-11-02 15:22]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 13:26:44
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\Users\Anja\AppData\Local\Microsoft\Messenger\mauell@web.de\SharingMetadata\Working\database_2E3C_DE34_3CDD_F735\$db_clean$ 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 13:28:25
ComboFix-quarantined-files.txt 2008-06-25 11:27:45

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

221 --- E O F --- 2008-06-20 05:02:01


Dies ist nun der File von Combofix...
ich hoffe, du kannst etwas damit anfangen, vielen Dank.

#4 Hallo,

«
welche seiten öffnet der IE ?
kannst die links hier posten =???

«
poste bitte den Inhalt dieser txt-Datei
ComboFix-quarantined-files.txt

«
wende avz an, hake alles an, wie beschrieben + poste den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1.)
blog.direktrabatte.de/1/AMZ.php
de.celldorado./DE/ADS/1338973316/index.php?trackid=1626355737&clickid=
000ht801hesf1E9iOG6
PCL3DTRdtvd3f&tick=0&ce_cid=000ht801
hesf1E9iOG6PCL3DTRdtvd3f
tuifly./de/offers/tiefstpreise.jsp?origin=DE
quelle.de/is-bin/INTERSHOP.enfinity/WFS/Quelle-quelle_de-Site/de_DE/-/EUR/Q_Storefront-Start

------------------

ausserdem geht immer ein kleines Fenster mit einer leeren Seite auf

2.)wo bitte finde ich diese Datei?

3.)Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 25.06.2008 14:30:16
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 6.0.6000, ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Error loading driver - checking interrupted [C0000061]
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Error loading driver - checking interrupted [C0000061]
2. Scanning memory
Number of processes found: 31
Number of modules loaded: 374
Scanning memory - complete
3. Scanning disks
C:\Program Files\Google\googletoolbar1user.exe >>> suspicion for Email-Worm.Win32.Warezov.mo ( 0058B170 000EB9C4 0021990C 001BA1CC 40960)
C:\SwSetup\MSWorks\GR\PFiles\MSWorks\wkplmstp.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00690306 08CD5FC5 001FC738 00171B97 81920)
C:\System.sav\util\RStone.exe >>> suspicion for Trojan.Win32.VB.atp ( 0047A19C 000FC7F3 0019C554 001948C9 45056)
C:\Users\Anja\Fußpflege\Füße von unten.doc >>> suspicion for Trojan-Dropper.Win32.Small.ta ( 02DB47A8 0B080A7F 00000000 000B4AEC 24064)
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
E:\Tobit ClipInc\Player\ChargedByClipInc.dll --> Suspicion for Keylogger or Trojan DLL
E:\Tobit ClipInc\Player\ChargedByClipInc.dll>>> Behavioural analysis
1. Reacts to events: keyboard, all events
E:\Tobit ClipInc\Player\ChargedByClipInc.dll>>> Neural net: file with probability 99.91% like a typical keyboard/mouse events interceptor
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll --> Suspicion for Keylogger or Trojan DLL
C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Behavioural analysis

6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "avgrsstx.dll"
Checking - complete
8. Searching for vulnerabilities
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 149980, extracted from archives: 99982, malicious software found 0, suspicions - 4
Scanning finished at 25.06.2008 15:10:27
Time of scanning: 00:40:12
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

#6 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Program Files\Google\googletoolbar1user.exe

C:\SwSetup\MSWorks\GR\PFiles\MSWorks\wkplmstp.exe

C:\System.sav\util\RStone.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#7 1)
Datei googletoolbar1user.exe empfangen 2008.06.25 15:48:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/33 (3.04%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.25.0 2008.06.25 -
AntiVir 7.8.0.59 2008.06.25 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.25 -
AVG 7.5.0.516 2008.06.25 -
BitDefender 7.2 2008.06.25 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.25 -
DrWeb 4.44.0.09170 2008.06.25 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5904 2008.06.25 -
Ewido 4.0 2008.06.25 -
F-Prot 4.4.4.56 2008.06.24 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.25 -
GData 2.0.7306.1023 2008.06.25 -
Ikarus T3.1.1.26.0 2008.06.25 -
Kaspersky 7.0.0.125 2008.06.25 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.25 -
NOD32v2 3217 2008.06.25 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.25 -
Prevx1 V2 2008.06.25 Suspicious
Rising 20.50.22.00 2008.06.25 -
Sophos 4.30.0 2008.06.25 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.25 -
TheHacker 6.2.92.361 2008.06.25 -
TrendMicro 8.700.0.1004 2008.06.25 -
VBA32 3.12.6.8 2008.06.25 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.25 -
weitere Informationen
File size: 40960 bytes
MD5...: c977b7ef553838b74f6bff77daa3d185
SHA1..: 9bdc31d80c82f469a761ee2be373d41a514b6ef4
SHA256: 9af904dc997b711fd58b1287c442691a0dc9957d249801b532edbb9fda8c86bc
SHA512: 53b51a95ead81258d9108de8730ab3950554125866f0eee24e007588b3d86889
4637f349db7ca1c1db9d4a6ddc6075620368744ea0a7a5d0a3edc2975e604a93
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401971
timedatestamp.....: 0x451cb99a (Fri Sep 29 06:13:46 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5354 0x6000 6.12 3d99c3f213daa6b59608216616098ed9
.rdata 0x7000 0x1a90 0x2000 4.46 1ddbe9f61a757d685321a8cbd509a355
.data 0x9000 0x12fc 0x1000 1.52 0f01277e835412c63449c9e209afde08

( 2 imports )
> KERNEL32.dll: GetModuleHandleA, GetModuleHandleW, GetProcAddress, GetFileAttributesW, GetVersion, InitializeCriticalSection, DeleteCriticalSection, LoadLibraryW, GetLastError, SetLastError, lstrlenW, OutputDebugStringA, FreeLibrary, InterlockedExchange, GetACP, GetLocaleInfoA, lstrcmpiW, GetModuleFileNameW, lstrcpyW, GetSystemInfo, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetStartupInfoW, ExitProcess, HeapReAlloc, HeapAlloc, RtlUnwind, VirtualQuery, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, TerminateProcess, GetCurrentProcess, HeapSize, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, TlsAlloc, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, GetOEMCP, GetCPInfo, GetStringTypeA, GetStringTypeW, LCMapStringA, WideCharToMultiByte, LCMapStringW, VirtualProtect
> USER32.dll: MessageBeep

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=59BA8F4E00409659A0EB002B76C64700A9BC1798


2.)
Datei wkplmstp.exe empfangen 2008.06.25 15:51:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.25.0 2008.06.25 -
AntiVir 7.8.0.59 2008.06.25 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.25 -
AVG 7.5.0.516 2008.06.25 -
BitDefender 7.2 2008.06.25 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.25 -
DrWeb 4.44.0.09170 2008.06.25 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5904 2008.06.25 -
Ewido 4.0 2008.06.25 -
F-Prot 4.4.4.56 2008.06.24 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.25 -
GData 2.0.7306.1023 2008.06.25 -
Ikarus T3.1.1.26.0 2008.06.25 -
Kaspersky 7.0.0.125 2008.06.25 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.25 -
NOD32v2 3217 2008.06.25 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.25 -
Prevx1 V2 2008.06.25 -
Rising 20.50.22.00 2008.06.25 -
Sophos 4.30.0 2008.06.25 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.25 -
TheHacker 6.2.92.361 2008.06.25 -
TrendMicro 8.700.0.1004 2008.06.25 -
VBA32 3.12.6.8 2008.06.25 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.25 -
weitere Informationen
File size: 81920 bytes
MD5...: 9ab6d938912ef6a5963e701665246be7
SHA1..: 62600d7ff7eede75048d1f22c47dc8b82b2a2e7d
SHA256: 5a0ff82072b6d946eff5cbbf3e85923f52b64d74b7956881044ae95b45f1353a
SHA512: 667cd5c92f9855fea9f3c162460a1de8ce67852906b2efb136266a3d378bc177
b50dc99ce1e501b2bbfdca74962c3462f1657bd4faa0351665d4e947d864425a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406074
timedatestamp.....: 0x430473cb (Thu Aug 18 11:40:59 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xdd41 0xe000 6.59 f32fcef1276f1440e34a2b9bb2156870
.rdata 0xf000 0x1d72 0x2000 4.74 847029333cca684d5731b1f79db64dfc
.data 0x11000 0x2244 0x1000 2.67 7c9518389fd4d794474285d93822d0cb
.rsrc 0x14000 0x2000 0x2000 4.04 6aa37f2853a50948e836a79cd34018fe

( 6 imports )
> WkWinUni.dll: -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: GetStringTypeW, GetStringTypeA, LCMapStringW, FreeLibrary, GlobalFree, GetProcAddress, IsDBCSLeadByteEx, GetModuleFileNameA, CloseHandle, CreateFileA, LoadLibraryA, IsValidCodePage, GetVersionExA, MultiByteToWideChar, GetLastError, WideCharToMultiByte, FindFirstFileA, MoveFileA, IsDBCSLeadByte, GetFileAttributesA, GlobalUnlock, RtlUnwind, GlobalLock, IsValidLocale, GetUserDefaultLCID, GetACP, MulDiv, GetCommandLineW, LCMapStringA, HeapSize, IsBadWritePtr, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, InterlockedExchange, VirtualQuery, FlushFileBuffers, CreateFileW, SetFilePointer, GetLocaleInfoA, VirtualProtect, GetSystemInfo, SetEndOfFile, ReadFile, SetStdHandle, GlobalAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapFree, HeapAlloc, GetOEMCP, GetCPInfo, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType
> USER32.dll: GetDC, ReleaseDC, RedrawWindow, GetTopWindow, GetWindow, CallWindowProcA, SendMessageA, LoadCursorA, SetCursor, CharNextA, LoadStringA, MessageBoxA
> GDI32.dll: GetDeviceCaps, ExtTextOutA, ExtTextOutW, TranslateCharsetInfo
> ADVAPI32.dll: RegQueryValueExW, RegSetValueExW, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey

( 0 exports )

3.)
Datei RStone.exe empfangen 2008.06.25 15:53:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/33 (9.1%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.25.0 2008.06.25 -
AntiVir 7.8.0.59 2008.06.25 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.25 -
AVG 7.5.0.516 2008.06.25 -
BitDefender 7.2 2008.06.25 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.25 -
DrWeb 4.44.0.09170 2008.06.25 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5904 2008.06.25 -
Ewido 4.0 2008.06.25 -
F-Prot 4.4.4.56 2008.06.24 -
F-Secure 7.60.13501.0 2008.06.24 Suspicious:W32/Skubur.a!Gemini
Fortinet 3.14.0.0 2008.06.25 -
GData 2.0.7306.1023 2008.06.25 -
Ikarus T3.1.1.26.0 2008.06.25 -
Kaspersky 7.0.0.125 2008.06.25 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.25 -
NOD32v2 3217 2008.06.25 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.25 Suspicious file
Prevx1 V2 2008.06.25 Suspicious
Rising 20.50.22.00 2008.06.25 -
Sophos 4.30.0 2008.06.25 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.25 -
TheHacker 6.2.92.361 2008.06.25 -
TrendMicro 8.700.0.1004 2008.06.25 -
VBA32 3.12.6.8 2008.06.25 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.25 -
weitere Informationen
File size: 45056 bytes
MD5...: 163345678220a3d6f312a58a136a5895
SHA1..: 20f4552ec74f56d51dc1af07a7d8f9d998b9fea8
SHA256: db68620357e35571f20c2175dc7dd25946bb6708255bf7aadf352c1de59a2264
SHA512: d4db90cabf1d98be6dc0907d5ca00cab99f98c722a8190594308bbbe5d5c6c75
cee7d837ccd85539a3079a365458e52ef7bca2b1624fee1d1185b14fcdff2ecb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401444
timedatestamp.....: 0x45470583 (Tue Oct 31 08:12:51 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7dd8 0x8000 5.59 c902304c10591c5a42a0f6a37aab61fb
.data 0x9000 0xb08 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xa000 0x898 0x1000 1.84 3ac8ef2ca1aee4ed3e1bb5cabd18f8e5

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaGosubReturn, __vbaFreeVarList, _adj_fdiv_m64, __vbaNextEachVar, __vbaFreeObjList, _adj_fprem1, -, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaForEachCollObj, __vbaVarForInit, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, _CIsin, -, __vbaNextEachCollObj, __vbaChkstk, __vbaFileClose, __vbaGosubFree, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, -, __vbaCastObjVar, _adj_fpatan, EVENT_SINK_Release, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, -, __vbaExceptHandler, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, __vbaFPException, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaInStr, __vbaNew2, __vbaR8Str, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, __vbaVarSetVar, __vbaVarAdd, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI2, __vbaVarLateMemCallLd, __vbaLateMemCallLd, __vbaR8IntI2, _CIatan, __vbaStrMove, __vbaCastObj, __vbaR8IntI4, __vbaForEachVar, _allmul, __vbaLateIdSt, _CItan, __vbaFPInt, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaFreeObj, __vbaFreeStr

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=72A5EF620081463FB00200B4B2F06200BFD1A5F1

Für mich ist das alles Böhmen....

#8 Scanne mit Counterspy und poste das Log
http://www.virus-protect.org/counterspy1.html

Mache einen Onlinescan mit FSecure
http://virus-protect.org/onlinescan.html

Gruss Swiss

#9 1)
Scan History Details
Start Date: 25.06.2008 18:17:58
End Date: 25.06.2008 20:02:08
Total Time: 104 Min 10 Sec
Detected security risks

KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Ignored

Registry entries detected
HKEY_USERS\S-1-5-21-2207400025-342872590-2862421978-1000\SOFTWARE\KAZAA
HKEY_USERS\S-1-5-21-2207400025-342872590-2862421978-1000\SOFTWARE\KAZAA\LocalContent


Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Ignored

Registry entries detected
HKEY_USERS\S-1-5-21-2207400025-342872590-2862421978-1000\SOFTWARE\WGET


Trojan-Downloader.Win32.Agent.aww Trojan Downloader more information...
Status: Ignored

Files detected
C:\327882R2FWJFW\swxcacls.cfexe
C:\WINDOWS\swxcacls.exe


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@247realmedia[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@ad.yieldmanager[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@adopt.specificclick[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@adrevolver[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@advertising[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@apmebf[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@atdmt[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@burstnet[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@doubleclick[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@fastclick[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@realmedia[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@tribalfusion[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\anja@zedo[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@2o7[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@888[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@ad.yieldmanager[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@adrevolver[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@advertising[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@amazon[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@amazon[3].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@apmebf[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@atdmt[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@bravenet[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@bs.serving-sys[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@casalemedia[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@com[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@doubleclick[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@doubleclick[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@emjcd[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@fastclick[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@hitbox[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@list[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@mediaplex[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@partygaming.122.2o7[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@partypoker[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@revsci[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@serving-sys[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@smartadserver[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@statcounter[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@statse.webtrendslive[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@tradedoubler[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@trafficmp[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@tribalfusion[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@weborama[2].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@xiti[1].txt
c:\users\anja\appdata\roaming\microsoft\windows\cookies\low\anja@xiti[2].txt


2.)
Scanning Report
Wednesday, June 25, 2008 20:13:31 - 22:32:32
Computer name: ANJA-LAPTOP
Scanning type: Scan system for malware, rootkits
Target: C:\ E:\ F:\


--------------------------------------------------------------------------------

Result: 2 malware found
RiskTool.Win32.Reboot (spyware)
System
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 63986
System: 5162
Not scanned: 19
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 2
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\COMPONENTS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\COMPONENTS
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SAM
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\REGBACK\SYSTEM
C:\WINDOWS\SYSTEM32\CATROOT2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB
C:\WINDOWS\SYSTEM32\CATROOT2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATDB
C:\USERS\ANJA\APPDATA\LOCAL\MICROSOFT\WINDOWS DEFENDER\FILETRACKER\{D45BBF8A-F97D-4B3A-A49E-C10555920528}
C:\USERS\ALL USERS\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\CB3B7F2C46FE9D474BA4E2271F8E13D7_503F757A-EB59-4EF6-A16A-648765A878E4
C:\PROGRAMDATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\CB3B7F2C46FE9D474BA4E2271F8E13D7_503F757A-EB59-4EF6-A16A-648765A878E4

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-06-25
F-Secure AVP: 7.0.171, 2008-06-25
F-Secure Pegasus: 1.20.0, 2008-04-15
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

jetzt bin ich gespannt....

#10 Hallo,

http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop

OTMoveIt öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\327882R2FWJFW
C:\WINDOWS\swxcacls.exe

Klicke auf den Roten MoveIt!

Text im rechten Fenster / Results
Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen"

-------

dann berichte, wie es den Popups geht................
__________
MfG Sabina

rund um die PC-Sicherheit

#11 C:\327882R2FWJFW moved successfully.
File move failed. C:\WINDOWS\swxcacls.exe scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06262008_081825

Files moved on Reboot...
File move failed. C:\WINDOWS\swxcacls.exe scheduled to be moved on reboot.


Ich hab rebootet, vorher leider vergessen, das rechte Feld zu kopieren, aber das hatte er als log.txt gespeichert.
Ich werde jetzt mal im IE Explorer spielen und sehen, ob sich wiede PopUps öffnen. Meine Google-Toolbar ist nun weg, ist das eine potentielle Gefahr oder kann ich die wieder installieren?

Bis jetzt ist kein einziges Fenster mehr aufgegangen.

Ich bin total begeistert! Herzlichen Dank!

lg paradoxxxa

#12 Hallo , paradoxxxa

OTMoveIt
1. klicken: CleanUp! button
2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

-----------------

die Googletoolbar kannst du wieder laden, und als Alternativbrowser zum IE kannst du auch den Firefox benutzen
http://virus-protect.org/firefox.html

-----------------

Counterspy ist 14 Tage free, dann kaufen oder deinstallieren, am besten noch mal alles durchscannen und dann nicht vergessen, auch löschen zu lassen (was du beim 1.Durchlauf nicht gemacht hast)
Ist auf der Seite erklärt, wie man löscht.

-----------------

falls es noch Probleme gibt, melde dich - aber im Grunde sollte wieder alles sauber sein
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Liebe Sabina,

wenn ich den CleanUp! Button klicke, kommt ein Fenster "File access denied"
Firewall ist abgeschaltet

noch etwas: seit dieser ganzen Aktionen meldet sich der Rechner bei jedem Hochfahren mit einem Treiberproblem für ein "Bluetooth Periphal Device" und kann keinen Treiber finden. Mir ist keine Beeinträchtigung aufgefallen, aber in der Computerverwaltung ist ein gelbes Ausrufezeichen, wo krieg ich nun den Treiber wieder, weiß ja noch nicht einmal, um welches Gerät es sich handelt.

lg paradoxxxa

PS: gerade, um 22.48 Uhr öffnen sich wieder zwei Werbefenster, leider...

#14 Hallo,

wende systemscan an, poste den report, falls er hier nicht reinpasst, speichere ihn als txt-Datei ab und poste als Anhang
http://virus-protect.org/artikel/tools/systemscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hab es gespeichert und angehängt...

mir fällt gerade noch was ein: wenn er diese Seiten aufgemacht hat, öffnet sich hinterher immer ein Fenster Microsoft Virtual Machine mit einem Laufzeitfehler und möchte den Debugger starten...

lg paradoxxxa

--------
edit sabina
C:\Program Files\3gp Player
C:\Users\Anja\AppData\Local\Temp\nsi7E73.tmp\runme.exe
C:\Users\Anja\AppData\Local\Temp\nsi7E73.tmp\uuoywfrygn.exe