Hi,

die Pop Up Fenster (selbst bei geschlossenem IE) nerven ohne Ende. Ich habe DSL über Teledat Router 631, Sicherheitsstufe hoch (IE), Anti Vir, AdAware, Win Messenger deakt., CH shredder, BHO scanner und verschiedene Pop Up Blocker versucht, ohne Erfolg.

Hijack ist nun meine letzte Hoffnung vor komplettem Neuaufsatz. Hier das Log file, vielleicht hat jemand einen Tip?!

Logfile of HijackThis v1.99.1
Scan saved at 10:46:28, on 24.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\RunDll32.exe
G:\Programme\Ahead\InCD\InCD.exe
G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Programme\Java\jre1.5.0_02\bin\jusched.exe
G:\WINDOWS\System32\RUNDLL32.EXE
G:\WINDOWS\sload.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\WINDOWS\System32\ctfmon.exe
G:\Programme\Messenger\msmsgs.exe
G:\WINDOWS\System32\rundll32.exe
G:\Programme\Teledat\TelFax32.exe
G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
G:\Programme\DVBViewer\TS_Winlirc.exe
H:\downloads\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sload] "G:\WINDOWS\sload.exe"
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Reader\reader_sl.exe
O4 - Global Startup: Fax.lnk = G:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - Trusted Zone: h**://www.antivir-pe.de[/url]
O15 - Trusted Zone: h**p://www.fidelity.de[/url]
O15 - Trusted Zone: h**p://www.offroadforen.de[/url]
O15 - Trusted Zone: h**p://*.windowsupdate.com[/url]
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - h**p://www.gocyberlink.com/english/cyberstore/audiopack/xp_audio/ChkDVD.cab[/url]
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - G:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - G:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

Viele Grüße, Jürgen

Fixe mit HJT im abgesicherten Modus:
O15 - Trusted Zone:antivir-pe.de[/url]
O15 - Trusted Zone: fidelity.de[/url]
O15 - Trusted Zone: offroadforen.de[/url]
O15 - Trusted Zone: windowsupdate.com[/url]
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - gocyberlink.com/english/...udio/ChkDVD.cab[/url]
Und dann mache einen eScan genau nach Cidres Anleitung und poste das Ergebnis hier.
http://www.trojaner-board.de/showthread.php?t=17492

@Rena-gade
Du musst auch immer was zu meckern haben .
Hast ja recht, hatte nicht daran gedacht.

Hi,

Besten Dank für die schnelle Anwort,

eScan hat folgendes Problem gefunden (das log file ist ja ca. 3MB groß!):

….

Tue May 24 13:19:45 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Tue May 24 13:19:46 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue May 24 13:20:05 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Tue May 24 13:20:23 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

….

Das log File von HJI nach Fix:

Logfile of HijackThis v1.99.1
Scan saved at 14:05:10, on 24.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\RunDll32.exe
G:\Programme\Ahead\InCD\InCD.exe
G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
G:\Programme\Java\jre1.5.0_02\bin\jusched.exe
G:\WINDOWS\System32\RUNDLL32.EXE
G:\WINDOWS\sload.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\WINDOWS\System32\ctfmon.exe
G:\Programme\Messenger\msmsgs.exe
G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
G:\WINDOWS\System32\rundll32.exe
H:\Programme\Reader\reader_sl.exe
G:\Programme\Teledat\TelFax32.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\nvsvc32.exe
G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
G:\WINDOWS\System32\svchost.exe
H:\downloads\HijackThis.exe
G:\WINDOWS\System32\wuauclt.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sload] "G:\WINDOWS\sload.exe"
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Reader\reader_sl.exe
O4 - Global Startup: Fax.lnk = G:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - Trusted Zone: *.sxload.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - G:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - G:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

Während ich das schreibe (in WinWord!, DSL verbunden aber kein Explorer auf!) springen mir die Explorer Fenster schon wieder nur so um die Ohren.

Ich denke das riecht verdammt nach Format G: (ist bei mir die Systemplatte)

Vielleicht gibt’s doch noch ein Tip, evtl. diese AltNet wegzukriegen, soll ich das mal in der Reg ausräuchern?

Besten Dank!

Jürgen

Führe das genau nach Anleitung durch:

http://www.trojaner-board.de/showthread.php?t=17492

Ich brauche nur das Ergebnis der Finde.bat.

Hi,

ich brauchte bissel Zeit, mußte die Bat erst auf G: als Systemplatte umeseln.

Hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 13:30:12 2005 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.*
Tue May 24 14:01:23 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 14:01:23 2005 => Total Virus(es) Found: 1
Tue May 24 14:01:23 2005 => Total Errors: 152
Tue May 24 14:01:23 2005 => Time Elapsed: 00:42:16
Tue May 24 14:01:23 2005 => Total Objects Scanned: 40832
Tue May 24 13:17:48 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:01:23 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:02:06 2005 => Virus Database Date: 2005/05/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Grüße Jürgen

@felix1
@Yammi
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Danke.

Hi,

@Rene-gad, Mensch Du ich habs versucht?!, s.u., Oder müssen die // auch noch weg?
rgds,
Jürgen

PS.: OK, ich habs das "URL" muss noch weg

@Yammi

Zitat:

Oder müssen die // auch noch weg

Nee, dein Log ist schon i.O. TNX.
BTW: Du kannst es selbst austesten, der Link muss nicht abrufbar sein.

Naaaa ? alles so ruhig?

ich denke ich muss wohl hiernach http://www.trojaner-board.com/showthread.php?t=12154 verfahren, oder?

Ich kann jedenfalls mit den Pop Ups nicht mehr weiterleben!

Grüße,

Jürgen

@ Yammi

Warum ist dein System eigentlich nicht up to date?
Mach mal ein Screenshot vom Pop-Up und hänge diesen an deinen Beitrag an.

Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File.

Hallo Cidre,

besten Dank für die Geduld. Mein System ist eigenlich up to date (bis auf SP2, die CD bekomme ich nächste Woche)?!

Hier das log vom VBS:



"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "G:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""G:\Programme\Messenger\msmsgs.exe" /background" [MS]
"PowerBar" = (no data)
"NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"PopUpStopperFreeEdition" = ""G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"" ["Panicware, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NvCplDaemon" = "RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"InCD" = "G:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"NeroFilterCheck" = "G:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = ""G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"SunJavaUpdateSched" = "G:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"sload" = ""G:\WINDOWS\sload.exe"" [null data]
"AVGCtrl" = "G:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = "Yahoo! Companion BHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "H:\Programme\rarext.dll" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "G:\WINDOWS\System32\scrnsave.scr" [MS]


Startup items in "JSP" & "All Users" startup folders:
-----------------------------------------------------

G:\Dokumente und Einstellungen\JSP\Startmenü\Programme\Autostart
"Sonic CinePlayer Quick Launch" -> shortcut to: "G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe" ["Sonic Solutions"]

G:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "H:\Programme\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Fax" -> shortcut to: "G:\Programme\Teledat\TelFax32.exe" ["AVM Berlin GmbH"]
"Microsoft Office" -> shortcut to: "G:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {CLSID}\(Default) = "Yahoo! Companion"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {CLSID}\(Default) = "Yahoo! Companion"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "G:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""G:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
InCD Helper, InCDsrv, "G:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]
NVIDIA Driver Helper Service, NVSvc, "G:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "G:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.


beste Grüße,

Kann den screen shot nicht einfügen?! (ist aber kein flash, sonder richtiges IE Fenster mit richtigem linK zB. w**w.gameworld.de)

Hi,

mir ist gerade aufgefallen, dass sich unter "Sicher Seiten" im IE immer wieder *.sxload.com einträgt...Its das was von Windows oder so ein Mistding? Ich hatte das schon mal dort gelöscht?

Jürgen

PS.: Ich kann nur offline schreiben, schnell copy/paste machen, sonst verende ich immer im log in Fenster obwohl ich angemeldet bin???

Schalte mal die Systemwiederherstellung aus und fahre den PC im abgesicherten Modus hoch. Dort fixe mit HJT folgenden Eintrag:
O15 - Trusted Zone: *.sxload.com

Hallo Jungs,

ich habe mal eine Reihe der Seiten protokolliert, die sich hier öffnen wollen (IE auf „Keine Verbindung herstellen“, geschlossen! bzw. jedes Mal wieder neu geschlossen) und mit einem Zeitstempel versehen. Ich denke, dass ich das System mit SP komplett neu auf die geputzte Platte aufsetze. Nur was ist die Ursache von dieser Sch…, tritt das danach wieder auf? Wie kann diese Seuche vermeiden? Bringt ein factory reset am Router ´was?

Grüße Jürgen

@felix, danke mach ich

h**p://www.convent-kredit.de/web-control/click.php?ref=1471
25.05.2005 15:41:35
h**://partners.webmasterplan.com/click.asp?ref=189300&site=3608&type=text&tnb=1 25.05.2005 15:46:32
h**p://partners.webmasterplan.com/click.asp?ref=189300&site=3119&type=text&tnb=1
25/05/2005 15:51:42
h**p://partners.webmasterplan.com/click.asp?ref=189300&site=2972&type=text&tnb=1
25/05/2005 15:56:58
h**p://sniper.hit-logo-klingelton.com/index.php?usec=off
25/05/2005 16:02:01

Zitat:

Bringt ein factory reset am Router ´was?

Wenn Du nicht irgendetwas freigegeben oder umgestellt hast NEIN