Hallo,

ich schlage mich nun schon seit Tagen mit einem Problem rum wenn ich den Internet Explorer starte. Vor einigen Tagen trat das Problem erstmalig auf als ich bei jedem Start plötzlich auf die seite w*w.finding.de weitergeleitet wurde. Es lies sich nix anderes mehr im Browser anschauen,denn immer wieder landete ich bei der Seite. Das Problem habe ich dann versucht mit dem HijackThis zu lösen. Sah auch eigentlich sehr gut aus, denn die Seite ist nun nicht mehr aufgetaucht..Weiterhin läßt sich beim IExplorer jedoch keine Standardseite einrichten. Wenn ich das versuche, tauchen immer irgendwelche Hyroglyphen auf....(siehe auch unter R0 des Logfiles). Sprich den Trojaner bin ich immer noch nicht los.

Hoffe ihr könnt mir weiterhelfen und vielen dank schon mal im voraus.

Anmerkung:
Ich vermute das es an dem Eintrag unter O17 liegt und habe nun schon versucht ihn merfach mit dem HijackThis zu fixen, leider installiert er sich immer wieder neu!!!



Logfile of HijackThis v1.99.1
Scan saved at 01:44:38, on 31.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLHostManager.exe
C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLServiceHost.exe
c:\programme\gemeinsame dateien\aol\1135703820\ee\services\antiSpywareApp\ver2_0_13\AOLSP Scheduler.exe
C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLServiceHost.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:///???
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: AntiVir XP.LNK = C:\Programme\AVPersonal\AVWIN.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135851086796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135851632328
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0D66ED-9AE8-4536-8BE1-DE2E35A01CC6}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hi,

keiner der ne Lösung für mich parat hätte.....

Wäre wirklich schade.....

Hallo,

poste bitte mal ein Silent Runners-Log, vielleicht erkennt man da etwas mehr.

Hallo Haui,

hier das benötigte file, hoffe das kann ein bisschen mehr licht in die Sache bringen....



"Silent Runners.vbs", revision 41, http://w**.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LWBMOUSE" = "C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe" [empty string]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["America Online, Inc"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLHostManager.exe" ["America Online, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default) = "Microsoft Windows Media Player"
\StubPath = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Startup items in "*****" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart
"AntiVir XP" -> shortcut to: "C:\Programme\AVPersonal\AVWIN.EXE" ["H+BEDV Datentechnik GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AOL Instant Messenger (TM)"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
HIJACK WARNING! C:\WINDOWS\INF\IERESET.INF was not found!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SmartLinkService, SLService, "slserv.exe" [" "]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 214 seconds, including 11 seconds for message boxes)

Ich kann nichts schlechtes in den Logs erkennen (abgesehen von dem R0-Eintrag).

Zitat:

Das Problem habe ich dann versucht mit dem HijackThis zu lösen. Sah auch eigentlich sehr gut aus, denn die Seite ist nun nicht mehr aufgetaucht..

Hast du evtl. noch ein "unbearbeitetes" etwas älters Logfile? Davon könnte man evtl. auf die Art der Infektion schließen.

Hi,

hab leider kein älteres Logfile, das ich irgendwie abgespeichert habe....

Der Eintrag unter O17 ist also oke??

Zitat:

Der Eintrag unter O17 ist also oke??

Gehört zu AOL.

Versuch mal folgendes.
Lösche die Tempfile von Windows und vom Internet-Explorer mit ClearProg.

Scanne dein System mit einer Testversion von ewido im abgesicherten Modus. Speichere den Report!

Erstelle und poste ein WinPFind-Log zusammen mit dem ewido-Report.

Hallo Haui,

hab das nun getan was du mir vorgeschlagen hast und das sind die Ergebnisse....(Beides habe ich also im abgesicherten Modus durchlaufen lassen und gleichzeitig auch die Systemwiederherstellung deaktiviert!)

--------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:19:42, 01.01.2006
+ Report-Checksumme: C338DF7A

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Spyware.Downloadware : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3tagc0j2.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3tagc0j2.default\cookies.txt -> Spyware.Cookie.Overture : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3tagc0j2.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\3tagc0j2.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\WINDOWS\system32\unhtmhlp.exe -> Dropper.Small.wa : Gesäubert mit Backup


::Report Ende



»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...
qoologic 01.01.2006 18:50:04 204131 C:\Programme\WinPFind.zip

Checking %WinDir% folder...

Checking %System% folder...
UPX! 02.11.2001 17:45:50 236032 C:\WINDOWS\SYSTEM32\devil.dll
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 24.11.2001 19:31:48 65536 C:\WINDOWS\SYSTEM32\DVDAudio.ax
UPX! 24.11.2001 19:28:14 86528 C:\WINDOWS\SYSTEM32\DVDVideo.ax
PTech 12.07.2005 18:04:22 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
Umonitor 29.08.2002 13:00:00 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 07.12.2005 23:36:30 50043 C:\WINDOWS\SYSTEM32\uninstall.exe
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 16.05.2002 11:41:32 1805696 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
01.01.2006 18:54:34 S 2048 C:\WINDOWS\bootstat.dat
29.12.2005 07:27:04 H 54156 C:\WINDOWS\QTFont.qfn
01.01.2006 18:54:26 H 8192 C:\WINDOWS\system32\config\default.LOG
01.01.2006 18:54:46 H 1024 C:\WINDOWS\system32\config\SAM.LOG
01.01.2006 18:54:36 H 16384 C:\WINDOWS\system32\config\SECURITY.LOG
01.01.2006 19:19:08 H 389120 C:\WINDOWS\system32\config\software.LOG
01.01.2006 19:05:58 H 1024 C:\WINDOWS\system32\config\system.LOG
29.12.2005 11:12:24 RHS 13698 C:\WINDOWS\system32\Restore\filelist.xml

Checking for CPL files...
19.08.2003 08:20:04 180224 C:\WINDOWS\SYSTEM32\ac3filter.cpl
Microsoft Corporation 29.08.2002 13:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29.08.2002 13:00:00 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 13:00:00 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 29.08.2002 13:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 13:00:00 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 13:00:00 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 29.08.2002 13:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Kristal Studio 03.03.2001 02:39:28 121856 C:\WINDOWS\SYSTEM32\Mp3cnfg.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 29.08.2002 13:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 09.09.2002 15:35:00 118784 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 29.08.2002 13:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
RealNetworks, Inc. 23.04.2004 16:33:50 25088 C:\WINDOWS\SYSTEM32\prefscpl.cpl
Apple Computer, Inc. 30.09.2004 16:03:44 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
SmartLink 05.05.2002 18:18:34 339968 C:\WINDOWS\SYSTEM32\slcpappl.cpl
NVIDIA Corporation 26.10.2002 16:01:04 57344 C:\WINDOWS\SYSTEM32\sscpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 29.08.2002 13:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
NVIDIA Corporation 09.09.2002 15:35:00 118784 C:\WINDOWS\SYSTEM32\ReinstallBackups\0009\DriverFiles\nvtuicpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...

Checking files in %ALLUSERSPROFILE%\Application Data folder...
15.11.2002 09:49:38 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
17.10.2004 20:38:42 601 C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart\AntiVir XP.LNK

Checking files in %USERPROFILE%\Application Data folder...
15.11.2002 09:49:38 HS 62 C:\Dokumente und Einstellungen\*****\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
SSVHelper Class = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11d2-98FA-00C0F0318AFE}
Real.com = C:\WINDOWS\System32\Shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{AC9E2541-2814-11d5-BC6D-00B0D0A1DE45}
ButtonText = AOL Instant Messenger (TM) :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
ButtonText = Real.com :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
LWBMOUSE C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
AOLDialer C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
HostManager C:\Programme\Gemeinsame Dateien\AOL\1135703820\ee\AOLHostManager.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^22M WLAN Adapter Utility.lnk
backup C:\WINDOWS\pss\22M WLAN Adapter Utility.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\22MWLA~1\WLANMON.exe
item 22M WLAN Adapter Utility

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trickler
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item gain_trickler_3202c
hkey HKLM
command "c:\programme\divx\divx pro codec\gain_trickler_3202c.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item gain_trickler_3202c
hkey HKLM
command "c:\programme\divx\divx pro codec\gain_trickler_3202c.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 01.01.2006 19:32:58

Zitat:

C:\WINDOWS\SYSTEM32\devil.dll
C:\WINDOWS\SYSTEM32\uninstall.exe

Diese Dateien bitte auf http://www.virustotal.com überprüfen & das Ergebnis posten.

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trickler
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item gain_trickler_3202c
hkey HKLM
command "c:\programme\divx\divx pro codec\gain_trickler_3202c.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item gain_trickler_3202c
hkey HKLM
command "c:\programme\divx\divx pro codec\gain_trickler_3202c.exe"
inimapping 0

Du hast die zusammen mit einem anderen Programm die Adware "Gain_Trickler" mitinstalliert.
Mach bitte folgendes:
Wechsle in die "Misc Tools section" von HijackThis-> Open Uninstall Manager-> Save List-> Speichere sie dort ab wo auch dein HijackThis-Log liegt-> Poste den Inhalt (Programme die dir bekannt sind solltest du kennzeichnen).

Die Ergebnisse....

This is a report processed by VirusTotal on 01/02/2006 at 08:10:40 (CET) after scanning the file "devil.dll" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 01.01.2006 no virus found
Avast 4.6.695.0 12.30.2005 no virus found
AVG 718 01.02.2006 no virus found
Avira 6.33.0.70 01.01.2006 no virus found
BitDefender 7.2 01.01.2006 no virus found
CAT-QuickHeal 8.00 12.31.2005 no virus found
ClamAV devel-20051123 01.01.2006 no virus found
DrWeb 4.33 01.01.2006 no virus found
eTrust-Iris 7.1.194.0 01.01.2006 no virus found
eTrust-Vet 12.4.1.0 01.01.2006 no virus found
Ewido 3.5 01.02.2006 no virus found
Fortinet 2.54.0.0 12.31.2005 no virus found
F-Prot 3.16c 01.01.2006 no virus found
Ikarus 0.2.59.0 12.31.2005 no virus found
Kaspersky 4.0.2.24 01.02.2006 no virus found
McAfee 4664 01.01.2006 no virus found
NOD32v2 1.1347 12.30.2005 no virus found
Norman 5.70.10 12.31.2006 no virus found
Panda 9.0.0.4 01.01.2006 no virus found
Sophos 4.01.0 01.02.2006 no virus found
Symantec 8.0 01.02.2006 no virus found
TheHacker 5.9.2.066 01.01.2006 no virus found
UNA 1.83 12.30.2005 no virus found
VBA32


This is a report processed by VirusTotal on 01/02/2006 at 08:14:24 (CET) after scanning the file "uninstall.exe" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 01.01.2006 no virus found
Avast 4.6.695.0 12.30.2005 no virus found
AVG 718 01.02.2006 no virus found
Avira 6.33.0.70 01.01.2006 no virus found
BitDefender 7.2 01.01.2006 no virus found
CAT-QuickHeal 8.00 12.31.2005 no virus found
ClamAV devel-20051123 01.01.2006 no virus found
DrWeb 4.33 01.01.2006 no virus found
eTrust-Iris 7.1.194.0 01.01.2006 no virus found
eTrust-Vet 12.4.1.0 01.01.2006 no virus found
Ewido 3.5 01.02.2006 no virus found
Fortinet 2.54.0.0 12.31.2005 suspicious
F-Prot 3.16c 01.01.2006 no virus found
Ikarus 0.2.59.0 12.31.2005 no virus found
Kaspersky 4.0.2.24 01.02.2006 no virus found
McAfee 4664 01.01.2006 no virus found
NOD32v2 1.1347 12.30.2005 no virus found
Norman 5.70.10 12.31.2006 no virus found
Panda 9.0.0.4 01.01.2006 Suspicious file
Sophos 4.01.0 01.02.2006 no virus found
Symantec 8.0 01.02.2006 no virus found
TheHacker 5.9.2.066 01.01.2006 no virus found
UNA 1.83 12.30.2005 no virus found
VBA32 3.10.5 01.01.2006 no virus found


Hi-JackThis:

100.000 Vorlagen für CD & DVD
22M WLAN Adapter Utility and Driver
ABBYY FineReader 5.0 Sprint
AC3Filter (remove only)
Ad-Aware SE Personal
Adobe Acrobat 5.0
AntiVir/XP
AOL Deutschland
AOL Meine Fotos Bildschirmschoner
AOL Optimized Dial-In
AOL Uninstaller
ArcSoft PhotoImpression 4
AVIcodec (remove only)
ClearProg 1.4.1 Final
Digimax V50
Digimax Viewer 2.1
DivX Codec
DivX Player
DivX Player
DivX Pro Trial
eMule
ffdshow
Google Earth
HijackThis 1.99.1
Intel A/V Codecs V2.0
iWare iWare Mouse 3.2
J2SE Runtime Environment 5.0 Update 6
K-Lite Codec Pack 2.27 Basic
Lexmark X74-X75
MediaKey
Microsoft .NET Framework 1.1
Microsoft AutoRoute 2002
Microsoft Encarta Enzyklopädie 2003
Microsoft Picture It! Foto 7.0
Microsoft Word 2002
Microsoft Works 2003-Setup-Start
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (1.0)
Nero 6 Ultra Edition
Nimo Codecs Pack v5.0 (Remove Only)
NVIDIA nForce Treiber für Windows 2000/XP
NVIDIA nForce Utilities
NVIDIA Windows 2000/XP Display Drivers
Opera
PowerDVD
QuickTime
RealPlayer Basic
Search Helper
Smart Link 56K Voice Modem
Total Commander (Remove or Repair)
VideoLAN VLC media player 0.8.0
Viewpoint Media Player
Winamp (nur entfernen)
Windows Genuine Advantage v1.3.0254.0
WinRAR Archivierer
WinZip
xp-AntiSpy (nur entfernen)
XviD MPEG-4 Video Codec

Die roten Progrämmchen kenne ich, weiß nicht ob dir das weiterhilft....

Im übrigen hatte ich erneut heute morgen von AntiVir die Fehlermeldung bezüglich eines Trojaners TR/Spy.Banker.vk.1

Die hatte ich in den letzten beiden Wochen öfters aber seit ein paar Tagen hatte es diesbezüglich dann auch Ruhe gegeben....

Hoffe der gute Haui,läßt mich nun nicht im Stich..

Zitat:

Zitat von vertigo_75

Hoffe der gute Haui,läßt mich nun nicht im Stich..

Der gute Haui ist nicht 24/7 online

Kannst du die Datei C:\Windows\System32\uninstall.exe irgendwie zuordnen? Eigenschaften der Datei, Erstellungsdatum etc.

Zitat:

DivX Codec

Sollte deinstalliert werden. → c:\programme\divx\divx pro codec\gain_trickler_3202c.exe (Ad- bzw. Spyware)

Zitat:

eMule

Ist für die Systemsicherheit nicht gerade förderlich...

Zitat:

Search Helper

Solltest du auf jeden Fall deinstallieren.

[QUOTE=Haui45]Der gute Haui ist nicht 24/7 online

Kannst du die Datei C:\Windows\System32\uninstall.exe irgendwie zuordnen? Eigenschaften der Datei, Erstellungsdatum etc.

Sollte deinstalliert werden. → c:\programme\divx\divx pro codec\gain_trickler_3202c.exe (Ad- bzw. Spyware)

___________________________________________________________

Die uninstall.exe gehört zum FFDShow Direct Decoding Filter, den ich mir am 11.12.2005 gedownloaded habe.


Über den Total commander finde ich die angesproche gain trickler exe nicht, wie kann ich die denn sonst am besten deinstallieren, ohne mir den gesamten divx-player zu deinstallieren...


Dasselbe gilt für den Search Helper....
Im total commander bekomme ich Search Helper unter den Programmen nicht angezeigt..Wie deinstalliere ich ihn dann?