Steht schon weiter "unten" im Forum.
Ich habe sie direkt in C:\windows gehabt. Es war eine versteckte Datei und der Security-Task-Manager hat sie als "potentiell gefährlich" diagnostiziert.
Ich hatte sie dann erst mal über XP-Clean in eine Textdatei umbenannt und abgewartet, was passiert...

Gruß Biott

Okay, Ergebnis ist da.
Die Datei gehört zu einem HackTool.Win32.Hidd.d.
Christian hat sie weitergeschickt, damit sie zukünftig erkannt wird.
Freue mich, sowas gefunden zu haben und euch zu haben.

Seitdem ich die Datei eliminiert habe, meinen Virenscanner deinstalliert habe und wieder neu installiert habe, tauchen erst mal keine Probleme mehr auf.
MyWebSearch habe ich ebenfalls beseitigt und alle Registry-Einträge entfernt.
Mal sehen, was die nächste Zeit bringt.


Biott

Habe mein AntiVir am 12.01. geupdatet und alles (?) entfernen können, was zu dem Hacktool gehörte - die Antivirensoftware erkannte jetzt das Problem. Vorsichtshalber habe ich nochmals mein AntiVir deinstalliert und Onlinescans bei Panda und HouseCall gemacht - es war nichts mehr auffindbar.
Bevor ich meinen Virenscanner wieder installiert habe, hab' ich im abgesichterten Modus noch mal den eScan laufen lassen (nachdem ich auch diesen geupdatet hatte) und er fand noch folgenden Eintrag:

C:\System Volume Information\_restore{1B5FAC26-6A29-4D71-9CAC-9BA6F6105A19}\RP33\A0006287.dll infected by "HackTool.Win32.Hidd.d"

Diesen habe ich dann über das Dateitool von jvPowerTools gelöscht (geht aber sicher auch in "Killbox").
Bis heute ist bei täglichem Virenscan nichts mehr aufgetreten. Keinerlei Probleme, keinerlei Meldungen...

Danke auch noch mal an Christian, der die "fragwürdige" Datei weitergeleitet hat und der mir mit Hinweisen und Ratschlägen beigestanden hat.
Und natürlich auch Danke an alle anderen, die mir geantwortet haben zu diesem Thema und mich unterstützen konnten.

Biott

Hallo Biott,

es tut mir leid, wir haben Deinen Thread anscheinend übersehen. Sowas kann allerdings passieren. Deswegen meine Bitte an Dich und alle, die hier mitlesen, wenn wir Eure Threads übersehen, wenn also 1,2,3 Tage vergehen, ohne dass wir antworten, setzt Euch mit uns in Verbindung. Schiebt Eure Threads hoch oder meldet Euch bei uns per PN. Viele von Euch melden sich mit ganzen Logfiles in unseren Mailboxen .. das mögen wir garnicht. Aber zuviel Bescheidenheit wird Euch nicht weiterbringen. Es ist keine böse Absicht von uns .. hier ist einfach so viel los, dass leider ab und an mal ein Thread runterrutscht und nicht mehr von uns bearbeitet wird.

Die meiste Arbeit hast Du ja nun schon erledigt @ Biott ... vielleicht nützt es Dir, nachzuschauen, was wir Dir eigentlich empfohlen hätten.

Die Etappen meines Postings, die dieses Zeichen (*o*) tragen, könntest Du bitte noch erledigen.

(*o*) Mit dem Clear Prog kannst Du den Inhalt aller temporären Ordner leeren, wenn Du ein Häkchen' bei "Clear all"/"alles löschen" machst und auf "Clear"/"löschen" klickst. Das Programm macht vieles selbstständig, weiss was es zu tun hat und erleichert dem User das arbeiten.

------------------------------------

Diese Malware-Einträge hättest Du von Hand löschen sollen.

Dazu musst Du erst die Grundlage schaffen, damit Du die Dateien auch findest: --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann (offline) in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, markiere/kopiere die Dateien, übertrage sie in die Windows Suche und lösche sie:

C:\WINDOWS\System32\f3PSSavr.scr
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE

--> zum löschen von DLL's:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten diese Dateien sich löschen lassen (Cidre & Chaosman zitiert):"

C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR
C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

-------------------------------------

(*o*) Downloade nun bitte noch die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3'. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3). Update die Programme online. Scanne Deinen Rechner mit den beiden Programmen nacheinander und lass alle bestehenden Probleme beheben.

-------------------------------------

(*o*) Erstelle ein weiteres neues Hijack This Loggfile und poste es in diesen Thread.

Gut - ich habe noch mal alles durchgesehen.
Die von Hand zu löschenden Malwareeinträge hatte ich alle schon beseitigt. Lediglich im c:\windows\prefetch war noch ein Eintrag der MWSOEMON.EXE vorhanden, den ich entfernt habe (ich hoffe, das war okay)...
Clear Prog habe ich auch schon erledigt gehabt, ebenso den Scan mit Ad-Aware 6 Personal und Spybot-Search & Destroy.
Alles war vollständig sauber, auch der eScan im abgesicherten Modus brachte keine Meldung mehr.
Kann es sein, dass meine "TR/Drop/Small.NK"-Meldung und das neu gefundene Hacktool irgendwie in Verbindung standen - oder ist das Zufall ?

Hier also das aktuelle HijackThis-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 10:08:11, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Biott

@ Biott

Platform: Windows XP SP1 (WinNT 5.01.2600) - ungepatchtes Betriebssystem: www.windowsupdate.com

Solange Du nicht bereit bist, Dein BS zu updaten, mein Link führt zu einem Direkt-Update für alle Patches und das SP2 (danke an den Kollegen, von dem ich den Link übernommen habe) und auf den IE zugunsten eines anderen Browsers, Alternative Browser, zu verzichten, wirst Du Dauergast bei uns bleiben und immer wieder Probleme mit Deinem Rechner haben.

--> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/...all/xscan53.cab

bitte fixen, wenn Du diese Einträge nicht kennst/brauchst:

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

---------------------
Deine Frage kann ich leider nicht beantworten, da ich dazu zu wenig Information habe.
---------------------

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4 .exe

teile uns das Ergebnis der Überprüfung mit.

Eine Frage zwischendurch - ich bin sehr wohl bereit, mein BS zu updaten. Anfang Januar habe ich geupdatet mit Service Pack 1. Service Pack 2 ist doch nicht für Home-Anwender, oder ?
Und mein Standardbrowser ist seit Dezember der FireFox.

Ist das okay ???????

Muss ich den IE deswegen ganz beseitigen ? Für Windows-updates brauche ich ihn doch noch, oder ?

Ich mach mich jetzt dran, die restlichen Einträge zu fixen.
Die Druckeinträge von Canon kommen vom "Pixma IP5000". Aber eigentlich brauche ich sie nicht und werde sie dann auch entfernen.

Biott

Firefox ist vollkommen ok!

Komm aber bitte nicht auf die Idee den IE zu löschen,er ist Bestandteil von XP und wird bei jedem Start mitgeladen!Wie du schon sagtest,wird er für die Updates benötigt!


Gruss

Schnell mal einmisch:
Servus HerKautz!
@ biott:

Zitat:

Service Pack 2 ist doch nicht für Home-Anwender, oder ?

Falsch, ist genauso für Home Anwender und verursacht, zumindest bei mir und vielen anderen keinerlei Probleme.
cacatoa

Zitat:

Zitat von cacatoa

Schnell mal einmisch:
Servus HerKautz!

Womit verdiene ich mir die Extra Begrüssung?

@ HerrKautz:
weil ich mich eingemischt und an biott geschrieben habe, dachte ich mir, es wäre freundlich, Euer Gnaden auch zu grüßen.
cacatoa

@ Shadowdance

Okay, ich habe alles wie beschrieben gemacht. Habe mein BS geupdatet und dann im abgesicherten Modus die Systemwiederherstellung deaktiviert und die angegebenen Einträge gefixt. Nur das, was zum Canon Pixma IP5000 gehört, habe ich erst mal gelassen.
Ein Eintrag erscheint wieder und lässt sich scheinbar nicht fixen:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Wie werde ich den los ?

Hier noch mal mein aktuelles Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 13:37:47, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253


Kaspersky brachte folgendes Ergebnis:
Zu überprüfende Datei: fpdisp4.exe
fpdisp4.exe Ok

Statistiken:Bekannte Viren: 114907 Updated: 18-01-2005
Größe der Datei (Kb): 356 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Biott

He - diesmal bin ich nicht mehr "bescheiden" und frage mal nach, ob ihr mich vergessen habt...
Wie kriege ich diesen dämlichen Eintrag nun los, der sich nicht fixen lässt ???
Wie verfahre ich außerdem mit Ordnern, die sich selbst als "!Submit" erstellen, wenn ich gefixt habe ??? Kann ich die bedenkenlos löschen ?

Biott

@Biott

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll

Wie man sieht, gehört die Pfadangabe zum weitverbreiteten Adobe Acrobat Reader, der zum Lesen von PDF-Dateien nötig ist. Dieser BHO sieht also vertrauenswürdig aus und wenn man sich näher informiert, wird man erfahren, dass diese BHO nötig ist, um PDF-Dateien gleich im Internet Explorer lesen zu können.

das wird dein Problem nicht sein...

hier bekommst du übrigens das aktuelle hijackthis...

www.hjt.klaffke.de

lg


Tom59

Da nach dem Eintrag "no file" steht, heisst das eigentlich, dass dort eben eigentlich keine Datei vorhanden ist und es sich quasi um einen verwaisten Starteintrag handelt. Dekativiere mal die Systemwiederherstellung und fixe den Eintrag im abgesicherten Modus.