Oh man, ich bin völlig fertig. Nach dem ich so einiges gefixt habe, bleibt mein Anfangsproblem immer noch hartneckig bestehn: Google schickt mich nach dem Folgen eines Links zum Suchergebnis immer auf irgendwelche, meist zweifelhaften, Seiten, die mit der Suche nun so gar nix zu tun haben.

Habe die Zeile :

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11

schon mehrfach gefixt, leider taucht sie immer wieder auf.

wer kann mir helfen?


Logfile of HijackThis v1.99.1
Scan saved at 22:05:56, on 05.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sound64] stuffmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EXE32EXE] MSTCPDLL.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

@horrst
Deinstalliere Wareout über Systemsteuerung/Software und kümmere dich bitte sofort um die Installation von SP2 + späteren Patches.
Info: http://www.doxdesk.com/parasite/WareOut.html

Ja, ich weiß, dass ich schon sehr leichtsinnig war... Aber danke für die Hinweise.

Leider bin ich mir nicht sicher, ob mein rechner jetzt sauber ist. deshalb hier nochmal ein log-file mit der Frage, ob da jetzt noch was Verdächtiges drin ist?

Logfile of HijackThis v1.99.1
Scan saved at 15:24:20, on 07.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126008246262
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE



wie gesagt, tausend dank und ich werde in Zukunft nicht mehr so blau-äugig sein! Erzeihungsauftrag vorerst erfüllt ;-)

@horrst

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11

Bitte mit HijackThis fixen oder manuell entfernen.

Ja, danke. Leider ändert sich dann nichts. Die Zeile, bzw. den EIntrag in der regestry (O17 - HKLM\System\CCS\Services\Tcpip\..\{D60049E9-6678-4339-B230-BDFFAAA169CD}: NameServer = 195.95.218.35 85.255.112.11) habe ich schon mehrmals mit HijackThis und manuell gelöscht. In dem Moment, in dem ich mich ins Netz einwähle, ercheint der Eintarg aber immer wieder!

AUch besteht weiterhin das Problem, das mich die Links unter Google statt auf die gefundene und angezeigte Seite (im Test als Beispiel www.hannover96.de [rein zufällig]) auf eine völlig andere Seite, hier die Seite eines Wettanbieters, schickt (http://www.mybet.com/forward.do?page...aignId=3029504).

Ich verstehe meinen Rechner nicht mehr (wenn ich das denn jemals getan habe...) und weiß nicht, wie ich den Kram wieder los werden soll. Kann mir nochmal jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 22:24:37, on 07.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126008246262
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{D60049E9-6678-4339-B230-BDFFAAA169CD}: NameServer = 195.95.218.35 85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

Mach mal einen escan, und poste die Ergebnisse mit Hilfe der find.rar.

Beachte dabei genau die Anleitung unter http://www.trojaner-board.com/showthread.php?t=17492

Gruß
Yopie

ok, dann man los. Hier die verdächtigen Auszüge (nach Anleitung gesucht nach infected bzw. tagged):

Thu Sep 08 18:29:26 2005 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.

Thu Sep 08 18:36:01 2005 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.

Thu Sep 08 19:09:27 2005 => File C:\Dokumente und Einstellungen\Totto\Lokale Einstellungen\Temporary Internet Files\Content.IE5\28EDBDKO\wbk39.tmp infected by "Trojan-Spy.HTML.Bankfraud.if" Virus! Action Taken: No Action Taken.

Thu Sep 08 19:25:43 2005 => File C:\Dokumente und Einstellungen\Totto\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LCO3T9KT\count[1].htm infected by "Trojan-Downloader.JS.Inor.a" Virus! Action Taken: No Action Taken.

Thu Sep 08 19:40:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Thu Sep 08 19:47:56 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Basic_Tagged.chm

ich hoffe damit könnt ihr was anfangen...

Moin,
guck mal hier http://www.spywaredb.com/remove-zipitpro/

Gruß

riesurf

Ja schade, dass hilft mir nicht wirklich. Leider sind keine derartigen Dateien auf meinem Rechner. Der kennt das Programm "zipitpro" nicht...

langsam werde ich immer verzweifelter.

Vielleicht guckt noch mal einer drüber:

ok, dann man los. Hier die verdächtigen Auszüge (nach Anleitung gesucht nach infected bzw. tagged):

Thu Sep 08 18:29:26 2005 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.

Thu Sep 08 18:36:01 2005 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken.

Thu Sep 08 19:09:27 2005 => File C:\Dokumente und Einstellungen\Totto\Lokale Einstellungen\Temporary Internet Files\Content.IE5\28EDBDKO\wbk39.tmp infected by "Trojan-Spy.HTML.Bankfraud.if" Virus! Action Taken: No Action Taken.

Thu Sep 08 19:25:43 2005 => File C:\Dokumente und Einstellungen\Totto\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LCO3T9KT\count[1].htm infected by "Trojan-Downloader.JS.Inor.a" Virus! Action Taken: No Action Taken.

Thu Sep 08 19:40:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Thu Sep 08 19:47:56 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Basic_Tagged.chm

ich hoffe damit könnt ihr was anfangen...

Hallo@horrst

O17 - HKLM\System\CCS\Services\Tcpip\..\{1768DC22-0997-444C-BAEB-B3F74BD76104}: NameServer = 195.95.218.21,85.255.112.14
Nach Angaben von www.Ripe.net/whois sind die beiden IPs einem Hosting in Charkow,

der escan findet diese Variante vom Wareout noch nicht (jedenfalls gestern habe ich das bemerkt), deshalb:

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

hclean.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Lade die datFind.bat : (bitte auch die Pfade hier mit kopieren)
http://nikita.eddys-domain.de/datfindbat.html

silentrunners
http://nikita.eddys-domain.de/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

----------
WareOut
http://nikita.eddys-domain.de/Artike...e/WareOut.html

@horrst
Um die Fehlanzeigen zu vermeiden vor dem Verwenden von eScan sollte man:
1.Systemwiederherstellung abschalten

2. Mit diesem Bereinigungsprogramm (oder einem anderen zur Verfügung stehenden Bereinigungs-Tool , bzw. auch manuell), den ganzen Müll aus den Temp-Ordner und Papierkorb entfernen.

3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name dieses Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.

Also die Systemwiederherstellung ist abgeschaltet, die Temp-Dateien gelöscht, dder infected.ordner ist leer...

hier die Logs für Sabina und alle anderen, die sich damit auskennen:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\WINDOWS\system32

09.09.2005 17:51 311.740 perfh009.dat
09.09.2005 17:51 40.128 perfc009.dat
09.09.2005 17:51 48.354 perfc007.dat
09.09.2005 17:51 316.924 perfh007.dat
09.09.2005 17:51 723.744 PerfStringBackup.INI
07.09.2005 13:51 13.002 wpa.dbl
07.09.2005 13:47 269 spupdwxp.log
07.09.2005 13:46 173.872 FNTCACHE.DAT
04.08.2005 18:54 1.457.496 MRT.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\DOKUME~1\Totto\LOKALE~1\Temp

09.09.2005 18:34 512 ~DF239.tmp
09.09.2005 18:29 390 sOutTmp182928.tmp
09.09.2005 18:28 390 sOutTmp182822.tmp
3 Datei(en) 1.292 Bytes
0 Verzeichnis(se), 5.332.996.096 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\WINDOWS

09.09.2005 18:31 1.004.389 WindowsUpdate.log
09.09.2005 18:26 3.749 KB893086.log
09.09.2005 18:24 6.839 KB890859.log
09.09.2005 18:14 0 0.log
09.09.2005 18:13 159 wiadebug.log
09.09.2005 18:13 50 wiaservc.log
09.09.2005 18:13 2.048 bootstat.dat
09.09.2005 18:12 32.594 SchedLgU.Txt
09.09.2005 18:12 3.079 KB901214.log
09.09.2005 18:02 41.884 iis6.log
09.09.2005 18:02 103.595 comsetup.log
09.09.2005 18:02 1.355 imsins.log
09.09.2005 18:02 111.646 tsoc.log
09.09.2005 18:02 62.666 ntdtcsetup.log
09.09.2005 18:02 14.060 ocmsn.log
09.09.2005 18:02 10.694 KB885835.log
09.09.2005 18:02 143.972 ocgen.log
09.09.2005 18:02 14.494 msgsocm.log
09.09.2005 18:02 280.028 FaxSetup.log
09.09.2005 18:02 358.011 setupapi.log
09.09.2005 18:01 2.066 vminst.log
09.09.2005 17:51 6.292 KB887472.log
09.09.2005 16:37 1.355 imsins.BAK
09.09.2005 16:37 18.286 KB899587.log
09.09.2005 16:37 5.939 updspapi.log
09.09.2005 16:37 17.406 KB896422.log
09.09.2005 16:36 16.394 KB885836.log
09.09.2005 16:36 17.074 KB885250.log
09.09.2005 16:36 17.680 KB899591.log
09.09.2005 16:36 17.794 KB893756.log
09.09.2005 16:36 15.874 KB873339.log
09.09.2005 16:36 18.476 KB896727.log
09.09.2005 16:35 13.434 KB888113.log
09.09.2005 16:35 13.775 KB887742.log
09.09.2005 16:35 14.293 KB896358.log
09.09.2005 16:35 13.249 KB891781.log
09.09.2005 16:35 14.246 KB890046.log
09.09.2005 16:35 13.637 KB893066.log
09.09.2005 16:35 14.927 KB873333.log
09.09.2005 16:35 12.842 KB888302.log
09.09.2005 16:34 9.783 KB886185.log
09.09.2005 16:34 13.723 KB899588.log
09.09.2005 16:34 12.509 KB896428.log
09.09.2005 16:34 13.424 KB894391.log
09.09.2005 14:12 25.580 wmsetup.log
09.09.2005 06:59 7.716 KB896423.log
09.09.2005 06:53 6.400 balloon.wav
08.09.2005 21:08 8.199 KB893803v2.log
08.09.2005 21:07 1.240 avmcoins.log
08.09.2005 18:23 145.816 ntbtlog.txt
07.09.2005 22:05 6.807 KB898461.log
07.09.2005 14:02 807 avmenum32.log
07.09.2005 13:52 4.270 OEWABLog.txt
07.09.2005 13:51 779.224 setuplog.txt
07.09.2005 13:48 28.992 spupdsvc.log
07.09.2005 13:48 360 DtcInstall.log
07.09.2005 13:48 316.640 WMSysPr9.prx
07.09.2005 06:43 449.853 svcpack.log
07.09.2005 06:40 200 cmsetacl.log
07.09.2005 06:40 686 win.ini
07.09.2005 06:39 1.330 sessmgr.setup.log
06.09.2005 21:26 12 dirsaver.ini
06.09.2005 19:57 30.404 xpsp1hfm.log
06.09.2005 19:57 18.102 Q811630.log
06.09.2005 19:57 17.146 Q817606.log
06.09.2005 19:56 961 Q323255.log
06.09.2005 16:02 116 NeroDigital.ini
06.09.2005 15:50 27.380 KB828741.log
06.09.2005 15:50 1.060.992 setupapi.log.0.old
06.09.2005 15:50 22.506 KB835732.log
06.09.2005 15:49 13.821 Q329834.log
06.09.2005 15:49 29.401 KB823559.log
06.09.2005 15:48 13.431 Q329048.log
06.09.2005 15:48 14.106 KB834707-IE6-20040929.115007.log
06.09.2005 15:48 23.012 Q810577.log
06.09.2005 15:47 19.870 Q810833.log
06.09.2005 15:46 19.509 Q329441.log
06.09.2005 15:45 16.493 Q329170.log
06.09.2005 15:43 652 Q329390.log
06.09.2005 14:14 5.845 KB842773.log
06.09.2005 14:14 174.886 setupact.log
05.09.2005 19:28 227 system.ini
03.09.2005 14:27 54.156 QTFont.qfn
03.09.2005 14:27 1.409 QTFont.for
03.09.2005 12:33 4.517 ULEAD32.INI
23.08.2005 18:44 30 iedit.INI


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\

09.09.2005 18:36 0 sys.txt
09.09.2005 18:35 9.424 system.txt
09.09.2005 18:34 401 systemtemp.txt
09.09.2005 18:33 102.943 system32.txt
09.09.2005 18:13 402.653.184 pagefile.sys
08.09.2005 20:29 0 23990098.$$$
08.09.2005 20:29 6 AVPCallback.log
07.09.2005 06:40 211 boot.ini
07.09.2005 06:29 47.564 NTDETECT.COM
07.09.2005 06:29 251.184 ntldr
05.09.2005 12:05 10.125 daily.avc
05.09.2005 12:05 11.404 avp.klb
05.09.2005 12:05 10.841 daily-ex.avc
04.09.2005 23:12 56.341 troj024.avc
04.09.2005 23:12 50.496 troj029.avc
04.09.2005 20:45 290.816 esupdate.exe
04.09.2005 20:14 254.528 mwavscan.com
04.09.2005 15:14 46.993 troj034.avc
03.09.2005 12:49 80.833 virus016.avc
03.09.2005 12:49 33.298 virus020.avc
03.09.2005 12:49 20.503 worm006.avc
03.09.2005 12:49 20.729 fa.avc
03.09.2005 12:49 55.376 unp026.avc
03.09.2005 12:49 41.540 gen003.avc
03.09.2005 12:49 14.803 ext005.avc
03.09.2005 12:49 42.019 gen999.avc
03.09.2005 12:49 35.796 malw004.avc
03.09.2005 12:49 48.106 ext003.avc
01.09.2005 10:58 143.636 spydb.avs
01.09.2005 10:21 47.082 troj026.avc
01.09.2005 10:21 50.867 unp025.avc
01.09.2005 10:21 43.227 unp024.avc
31.08.2005 23:35 43.633 Finnish.Age
31.08.2005 23:35 41.180 Polish.Age
31.08.2005 23:35 46.388 French.Age
31.08.2005 23:35 47.186 Spanish.Age
31.08.2005 23:35 42.782 Romanian.Age
31.08.2005 23:35 46.354 Portuguese.Age
31.08.2005 23:35 54.339 Italian.Age
31.08.2005 23:35 56.184 German.Age
31.08.2005 10:44 49.965 troj015.avc
31.08.2005 10:44 49.646 troj033.avc
31.08.2005 10:44 56.640 troj022.avc
31.08.2005 10:44 52.069 unp009.avc
31.08.2005 10:44 54.934 unp003.avc
31.08.2005 10:44 8.009 unp000.avc
31.08.2005 10:44 54.699 malw002.avc
31.08.2005 10:44 38.493 unp012.avc
30.08.2005 10:27 77.385 virus012.avc
30.08.2005 10:27 75.197 virus008.avc
30.08.2005 03:20 114.688 msvlclnt.dll
30.08.2005 03:18 38.976 Getvlist.exe
29.08.2005 18:59 48.691 ext004.avc
29.08.2005 10:49 47.309 gen002.avc
29.08.2005 10:49 1.570 avp.set
29.08.2005 10:49 109.327 troj003.avc
29.08.2005 10:49 61.365 unp014.avc
29.08.2005 10:49 51.447 troj025.avc
29.08.2005 10:49 1.970 eicar.avc
29.08.2005 10:49 50.243 troj020.avc
26.08.2005 12:06 50.483 troj008.avc
26.08.2005 12:06 61.028 krnunp.avc
26.08.2005 12:06 51.801 troj011.avc
26.08.2005 12:06 55.656 troj023.avc
26.08.2005 12:06 56.901 unp001.avc
26.08.2005 12:06 70.399 ca.avc
26.08.2005 12:06 50.406 troj016.avc
24.08.2005 16:29 4.749 Polish.dow
24.08.2005 16:29 1.693 Polish.tcp
24.08.2005 16:29 9.655 Polish.con
24.08.2005 16:29 5.412 French.dow
24.08.2005 16:29 10.372 French.con
24.08.2005 16:29 1.886 French.tcp
24.08.2005 16:29 5.354 Portuguese.dow
24.08.2005 16:29 10.655 Portuguese.con
24.08.2005 16:29 1.895 Portuguese.tcp
24.08.2005 13:01 49.243 ext001.avc
24.08.2005 13:01 48.717 troj030.avc
24.08.2005 13:01 78.228 virus013.avc
24.08.2005 13:01 50.067 troj031.avc
24.08.2005 13:01 81.443 unp023.avc
23.08.2005 15:51 487.424 Download.exe
20.08.2005 18:18 9.704 English.con
20.08.2005 18:18 9.704 config.lan
20.08.2005 14:48 59.950 malw001.avc
20.08.2005 14:48 49.303 troj032.avc
20.08.2005 14:48 41.459 troj028.avc
20.08.2005 14:48 29.370 gen004.avc
18.08.2005 17:45 67.241 unp004.avc
18.08.2005 17:45 71.736 unp002.avc
18.08.2005 15:37 339.968 MWAVReg.EXE
17.08.2005 16:36 49.623 troj012.avc
17.08.2005 16:36 50.230 troj021.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 50.678 troj007.avc
16.08.2005 15:33 34.766 gen001.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:24 58.536 bitmap1.bmp
16.08.2005 15:24 58.536 about.bmp
13.08.2005 19:43 50.873 troj009.avc
12.08.2005 19:01 80.280 unp019.avc
12.08.2005 19:01 50.223 troj010.avc
12.08.2005 19:01 51.739 worm003.avc
10.08.2005 18:32 76.290 virus015.avc
10.08.2005 18:32 43.421 troj027.avc
09.08.2005 18:22 101.222 troj001.avc
06.08.2005 15:11 41.565 English.Age
06.08.2005 15:11 41.565 language.ini
03.08.2005 17:09 1.235 gprs_log.txt
01.08.2005 13:10 14.376 Polish.lic


Die suche nach hclean.exe und der durchlauf mit silent runners blieben erfolg und ergebnislos.

wie gehts jetzt weiter?

Danke im voraus

Hallo@horrst

09.09.2005 06:53 6.400 balloon.wav

loesche:
C:\WINDOWS\balloon.wav

das wuerde ich gern sehen, wieso schreibst du, "erfolg und ergebnislos." ?

silentrunners
http://nikita.eddys-domain.de/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

+
winpfind
http://nikita.eddys-domain.de/winpfind.html

sorry, da war ich wohl leicht blind

guck dir doch das mal an:

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Gtwatch" = "C:\WINDOWS\gtwatch.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"(Default)" = (empty string)
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmjlz.exe" = "C:\WINDOWS\system32\dmjlz.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csvfs.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Totto\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ISDNWatch" -> shortcut to: "C:\Programme\ComCenter\IWatch.exe" ["AVM Berlin"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Watch" -> shortcut to: "C:\WINDOWS\twain_32\S6U12K\WATCH.exe" ["Common Group"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
PCTEL Speaker Phone, Pctspk, "C:\WINDOWS\system32\pctspk.exe" ["PCtel, Inc."]
ScsiAccess, ScsiAccess, "C:\WINDOWS\System32\ScsiAccess.EXE" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 74 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 20 seconds.
---------- (total run time: 132 seconds)

...und weiter geht es:

: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 30.08.2005 03:18:42 38976 C:\Getvlist.exe
UPX! 04.07.2005 12:32:28 96768 C:\MWAVL.exe
UPX! 18.08.2005 15:37:22 339968 C:\MWAVReg.EXE
UPX! 04.09.2005 20:14:12 254528 C:\mwavscan.com
UPX! 26.07.2005 14:59:48 351744 C:\viewtcp.exe

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PECompact2 04.08.2005 18:54:06 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2005 18:54:06 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
11.09.2005 20:13:50 S 2048 C:\WINDOWS\bootstat.dat
03.09.2005 14:27:50 H 54156 C:\WINDOWS\QTFont.qfn
06.09.2005 14:05:40 H 0 C:\WINDOWS\inf\oem6.inf
06.09.2005 14:09:00 H 0 C:\WINDOWS\inf\oem7.inf
07.09.2005 06:41:00 RHS 312713 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_5.cab
20.07.2005 04:18:04 S 18913 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB896727.cat
11.09.2005 20:15:08 H 1024 C:\WINDOWS\system32\config\default.LOG
11.09.2005 20:14:04 H 1024 C:\WINDOWS\system32\config\SAM.LOG
11.09.2005 20:23:58 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
11.09.2005 20:33:58 H 1024 C:\WINDOWS\system32\config\software.LOG
11.09.2005 20:31:50 H 1024 C:\WINDOWS\system32\config\system.LOG
06.09.2005 15:46:22 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
07.09.2005 13:47:12 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\8f0ddf22-4de7-4bc3-a5e0-f51cf1ef097d
07.09.2005 13:47:12 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
11.09.2005 20:13:52 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 06.12.2004 22:31:48 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 02.06.2003 13:46:28 297472 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
24.07.2003 16:07:42 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
19.08.2004 15:04:10 661 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk
19.08.2003 12:58:30 1714 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
31.08.2003 21:16:44 1586 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
24.07.2003 16:54:50 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
24.07.2003 16:07:42 HS 84 C:\Dokumente und Einstellungen\Totto\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
24.07.2003 16:54:50 HS 62 C:\Dokumente und Einstellungen\Totto\Anwendungsdaten\desktop.ini
19.08.2005 16:40:08 38944 C:\Dokumente und Einstellungen\Totto\Anwendungsdaten\GDIPFONTCACHEV1.DAT
23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Totto\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\DOKUME~1\ROSE\EIGENE~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\DOKUME~1\ROSE\EIGENE~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\DOKUME~1\ROSE\EIGENE~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AtiPTA atiptaxx.exe
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Gtwatch C:\WINDOWS\gtwatch.exe
HPDJ Taskbar Utility C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
AVSCHED32 C:\Programme\AVPersonal\AVSched32.EXE /min
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.3.9 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 11.09.2005 20:38:41


Also wenn mir noch einer helfen kann...


AUch besteht weiterhin das Problem, das mich die Links unter Google statt auf die gefundene und angezeigte Seite (im Test als Beispiel www.hannover96.de [rein zufällig]) auf eine völlig andere Seite, hier die Seite eines Wettanbieters, schickt (http://www.mybet.com/forward.do?pag...paignId=3029504). bei anderen Suchmaschinen besteht das Problem übrigens nicht! Kann das vielleicht auch an Google selbst liegen???