Umleitung der Suchergebnisse bei Google, Help!

Pianoman.ht · 22.01.2006, 14:54

Nee auch die sind alle in Ordnung...

Ich habe mal andere Threads durchstöbert, einer beschreibt genau dasselbe Problem, auch die von ihm benannte Webseite ist identisch - guckst du hier :
http://www.trojaner-board.de/showthread.php?t=25635 -

Nur funktioniert dessen Lösung des Problems bei mir nicht...?

Langsam wirds seltsam...

Wildone · 22.01.2006, 15:07

Hallo,

Zitat:

Nee auch die sind alle in Ordnung...

Das kann ich mir eigentlich nicht vorstellen.
schicke sie mal wie hier beschrieben (gepackt usw...) an diese E-Mail Adresse:
newvirus@kaspersky.com
und poste die Antwort, die du erhältst.

Edit
Außerdem besorst du dir mal Regseeker und suchst mit dem Programm nach folgendem String: "498478B0-90A5-4C96-BE7B-9EBC96D3CA4C"
eventuelle Ergebnisse postest du.

Grüße Wildone

Pianoman.ht · 23.01.2006, 09:32

Ok, folgendes neues gibts zu berichten :

Zu obigem Eintrag, der war Stuß, ich wollte schreiben dass diese Dateien bei mir gar nicht vorhanden sind und ich sie deswegen gar net prüfen kann.

Der Regseeker hat unter dem Schlüssel ne Menge Einträge gefunden, alle im HKEY_Local_Machine - Bereich. Was genau heißt denn das?

Außerdem ist im Autostart - Ornder ne Datei die ich nicht zuordnen kann, dmybd.exe, was is denn das?

Und zu guter Letzt, ich habe jetzt noch zwei weitere Topics gefunden hier im Forum die dasselbe Problem schildern, und auch deren IP-Adressen der Weiterleitungsseiten sind identisch mit meiner, scheint also kein so seltenes Problem zu sein...?

Hilft das was?

Wildone · 23.01.2006, 10:59

Hallo,
also allgemein ist es kein seltenes Problem (wird häufig als Wareout bezeichnet), das allerdings mit F-Secure Blacklight nichts zu finden ist und auch nach dem fixen des O17 Eintrags die Umleitung noch stattfindet ist schon eher selten.

Bitte poste die genauen Registryschlüssel die gefunden wurden, sie sollten alle zu dem veränderten DNS Eintrag gehören.

Mir scheint das sich eine dafür verantwortliche Datei immer umbenennt und du sie deshalb nicht finden kannst, aber gehe bei der Suche trotzdem mal folgendermaßen vor, findest du immernoch nichts?

Prüfe die Datei dmybd.exe hier und poste das Ergebnis.

Grüße Wildone

Pianoman.ht · 23.01.2006, 11:52

Gibt es eine Möglichkeit die Ergebnisse von RegSeeker irgendwie als Logfile oder so zu speichern? Ich habe unter dem Schlüssel 111 Einträge gefunden, wenn ich die alle hier poste wird das verdammt lange...

Zur Datei dmybd.exe, die is gar nicht mehr auf meinem System vorhanden, war ne "Karteileiche" in der Registry...

Die anderen Dateien habe ich trotz des Suchens wie angegeben nicht gefunden.

Wildone · 23.01.2006, 12:13

Hallo,
poste mal die Einträge unter folgenden Registryschlüsseln:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
und
lösche mal folgenden Eintrag:
unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "csrnj.exe"

Zitat:

Ich habe unter dem Schlüssel 111 Einträge gefunden

*Schluck* Da bin ich mir jetzt einfach nicht sicher genug um zu sagen "lösche sie alle".

Mache mal noch folgendes:
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt --> kopiere die Textdatei hier

Grüße Wildone

Pianoman.ht · 23.01.2006, 21:38

Also hier schonmal der Inhalt der Registry unter HKLM..../Run

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min"
"dmfnr.exe"="C:\\WINDOWS\\system32\\dmfnr.exe"
"dmpuf.exe"="C:\\WINDOWS\\system32\\dmpuf.exe"
"dmybd.exe"="C:\\WINDOWS\\system32\\dmybd.exe"
"dmike.exe"="C:\\WINDOWS\\system32\\dmike.exe"
"dmqjj.exe"="C:\\WINDOWS\\system32\\dmqjj.exe"

Zu mehr komme ich heute abend nicht, Rest gibts morgen. Hier fällt mir jetzt auf dass einige Einträge wieder vorhanden sind obwohl sie gestern gelöscht waren. Kann es sein, dass irgendwo ne Datei liegt die diese Einträge bei jedem Neustart wieder "generiert"?

Pianoman.ht · 24.01.2006, 19:36

Hier der Log von Fixwareout :

Fixwareout ver 1.003
Last edited 1/12/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fhamd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\DMAHF.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

Ich habe versucht die Regisrty zu exportieren und dann hier zu posten, ich komme dann aber über den maximal erlaubten Zeichensatz.
Was könnte ich denn da machen? Was hat es denn mit dem Schlüssel auf sich?

Wildone · 24.01.2006, 23:32

Hallo,

Zitat:

Hier fällt mir jetzt auf dass einige Einträge wieder vorhanden sind obwohl sie gestern gelöscht waren. Kann es sein, dass irgendwo ne Datei liegt die diese Einträge bei jedem Neustart wieder "generiert"?

Genau den Verdacht habe ich auch, die Frage ist nur welche Datei dafür verantwortlich ist.
Hast du den Registrykey den ich dir genannt habe gelöscht?

Zitat:

Ich habe versucht die Regisrty zu exportieren und dann hier zu posten, ich komme dann aber über den maximal erlaubten Zeichensatz.

Ähmm, du wolltest jetzt aber nicht die gesammte Registry posten, oder?

Zitat:

Was könnte ich denn da machen? Was hat es denn mit dem Schlüssel auf sich?

Welchen Schlüssel meinst du jetzt genau?

Wenn du morgen den Rechenr hochfährst schaust du noch mal welche Einträge hier:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
zu finden sind, und suchst nach allen angegebenen Dateien, falls du eine findest prüfst du sie bei dem Onlinescanner.

Mache vielleicht auch mal einen Onlinescan bei Panda, vielleicht findet der noch etwas.

Grüße Wildone

Haui45 · 24.01.2006, 23:50

Hallo,

statt Regseeker empfiehlt sich folgendes:
Lade Regsearch herunter und entpacke die enthaltenen Dateien in einen Ordner deiner Wahl. Starte die "regsearch.exe" und kopiere unter "Enter search strings" folgendes hinein:

Zitat:

498478B0-90A5-4C96-BE7B-9EBC96D3CA4C

-> Auf OK klicken und etwas warten-> ein Notepad-Fenster öffnet sich-> Poste den Inhalt o. hänge die Datei an.

Zitat:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "csrnj.exe"

Solltest/Darfst du nicht löschen.
Stattdessen:

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

In den Editor kopieren & als Fix.reg abspeichern-> Doppelklick-> Ja-> OK

Erstelle und poste ein WinPFind-Log. Lade dir die Datei datFind.bat herunter und poste die 4 Logs.

Pianoman.ht · 25.01.2006, 11:46

Hier der log von datFind.bat :

Verzeichnis von C:\WINDOWS\system32

23.01.2006 11:23 111.784 FNTCACHE.DAT
22.01.2006 10:23 2.228 wpa.dbl
19.01.2006 12:14 0 asfiles.txt
19.01.2006 12:10 2.550 Uninstall.ico
19.01.2006 12:10 1.406 Help.ico
19.01.2006 12:10 30.590 pavas.ico
19.01.2006 12:03 7.006 jupdate-1.5.0_06-b05.log
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
29.11.2005 13:29 311.740 perfh009.dat
29.11.2005 13:29 40.128 perfc009.dat
29.11.2005 13:29 316.924 perfh007.dat
29.11.2005 13:29 48.354 perfc007.dat
29.11.2005 13:29 723.744 PerfStringBackup.INI
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
10.11.2005 22:43 17.805 $winnt$.inf
10.11.2005 22:33 16.832 amcompat.tlb
10.11.2005 22:33 23.392 nscompat.tlb
10.11.2005 22:31 488 WindowsLogon.manifest
10.11.2005 22:31 488 logonui.exe.manifest
10.11.2005 22:30 749 wuaucpl.cpl.manifest
10.11.2005 22:30 749 nwc.cpl.manifest
10.11.2005 22:30 749 ncpa.cpl.manifest
10.11.2005 22:30 749 sapi.cpl.manifest
10.11.2005 22:30 749 cdplayer.exe.manifest
10.11.2005 22:28 22.880 emptyregdb.dat
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
12.10.2005 17:54 2.064 d3d8caps.dat
06.10.2005 04:08 1.839.616 win32k.sys

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

25.01.2006 10:01 16.384 Perflib_Perfdata_d40.dat
25.01.2006 09:49 0 me_Pvvo9cMMEJ9U2gG
25.01.2006 09:49 0 me_xzZfRX3f298kp6
25.01.2006 09:49 0 me_wi7lqeF0RG1nKME
25.01.2006 09:49 0 me_aSKDzcZ
11.10.2005 23:16 81 desktop.ini
6 Datei(en) 16.465 Bytes
0 Verzeichnis(se), 3.481.530.368 Bytes frei

Verzeichnis von C:\WINDOWS

25.01.2006 09:49 54.156 QTFont.qfn
25.01.2006 08:37 0 0.log
25.01.2006 08:37 1.310.738 WindowsUpdate.log
25.01.2006 08:36 2.048 bootstat.dat
24.01.2006 19:53 32.626 SchedLgU.Txt
23.01.2006 21:41 231 system.ini
23.01.2006 11:29 3.022 mozver.dat
19.01.2006 12:14 724 win.ini
19.01.2006 12:12 266.907 setupapi.log
18.01.2006 08:42 442.332 ntbtlog.txt
17.01.2006 18:41 17.159 wmsetup.log
17.01.2006 17:54 50 wiaservc.log
17.01.2006 17:54 214 wiadebug.log
17.01.2006 17:16 26 Lic.xxx
17.01.2006 09:38 0 nsreg.dat
17.01.2006 09:30 107.132 UninstallFirefox.exe
11.01.2006 06:52 193.662 comsetup.log
11.01.2006 06:52 620.982 iis6.log
11.01.2006 06:52 26.140 tabletoc.log
11.01.2006 06:52 235.610 tsoc.log
11.01.2006 06:52 27.762 ocmsn.log
11.01.2006 06:52 114.030 ntdtcsetup.log
11.01.2006 06:52 1.374 imsins.log
11.01.2006 06:52 10.185 KB908519.log
11.01.2006 06:52 251.080 ocgen.log
11.01.2006 06:52 87.888 netfxocm.log
11.01.2006 06:52 35.422 MedCtrOC.log
11.01.2006 06:52 25.282 msgsocm.log
11.01.2006 06:52 492.984 FaxSetup.log
11.01.2006 06:51 165.710 msmqinst.log
06.01.2006 16:00 11.085 KB912919.log
06.01.2006 16:00 37.015 updspapi.log
15.12.2005 15:15 19.009 KB905915.log
15.12.2005 15:14 7.306 KB910437.log
12.12.2005 12:57 0 uniq
07.12.2005 16:29 25 WinOnCD.ini
04.12.2005 21:19 0 OPPRIN~1.INI
28.11.2005 20:45 43.970 KB899587.log
28.11.2005 20:45 48.015 KB896422.log
28.11.2005 20:45 47.653 KB885835.log
28.11.2005 20:44 45.287 KB885836.log
28.11.2005 20:44 46.807 KB885250.log
28.11.2005 20:44 50.310 KB901017.log
28.11.2005 20:44 42.588 KB899591.log
28.11.2005 20:43 41.875 KB896424.log
28.11.2005 20:43 42.473 KB893756.log
28.11.2005 20:43 43.585 KB896423.log
28.11.2005 20:43 43.833 KB873339.log
28.11.2005 20:43 43.974 KB888113.log
28.11.2005 20:42 44.816 KB887742.log
28.11.2005 20:42 42.414 KB896358.log
28.11.2005 20:42 40.017 KB891781.log
28.11.2005 20:42 56.374 KB902400.log
28.11.2005 20:41 37.918 KB890046.log
28.11.2005 20:41 33.552 KB896688.log
28.11.2005 20:40 36.411 KB893066.log
28.11.2005 20:40 35.545 KB899589.log
28.11.2005 20:40 36.143 KB905414.log
28.11.2005 20:39 33.960 KB901214.log
28.11.2005 20:39 31.699 KB888302.log
28.11.2005 20:39 36.526 KB900725.log
28.11.2005 20:39 19.653 KB886185.log
28.11.2005 20:38 28.747 KB904706.log
28.11.2005 20:38 29.706 KB905749.log
28.11.2005 20:38 30.237 KB896428.log
28.11.2005 20:38 30.399 KB894391.log
28.11.2005 20:38 33.545 KB890859.log
28.11.2005 18:44 18.043 KB893803v2.log
11.11.2005 11:43 1.456 COM+.log
10.11.2005 22:43 582.644 setuplog.txt
10.11.2005 22:43 71.455 setupact.log
10.11.2005 22:43 11.229 setuperr.log
10.11.2005 22:33 316.640 WMSysPr9.prx
10.11.2005 22:33 1.272 OEWABLog.txt
10.11.2005 22:32 4.161 ODBCINST.INI
10.11.2005 22:30 749 WindowsShell.Manifest
10.11.2005 22:29 2.065 sessmgr.setup.log
10.11.2005 22:28 253 DtcInstall.log
10.11.2005 22:27 400 cmsetacl.log
10.11.2005 22:18 3.444 regopt.log
10.11.2005 22:00 11.750 WINNT32.LOG
10.11.2005 21:59 842 UPGRADE.TXT
10.11.2005 21:59 590 wsdu.log
10.11.2005 21:58 403 DHCPUPG.LOG
29.10.2005 16:19 3.508 cddabase.ini
25.10.2005 16:44 304.326 setupapi.old
20.10.2005 15:56 849 dop.ini
07.10.2005 17:46 236 wmsetup10.log

Verzeichnis von C:\

25.01.2006 10:18 0 sys.txt
25.01.2006 10:17 7.252 system.txt
25.01.2006 10:16 565 systemtemp.txt
25.01.2006 10:12 93.563 system32.txt
25.01.2006 08:36 402.186.240 hiberfil.sys
25.01.2006 08:36 603.979.776 pagefile.sys
17.01.2006 17:16 2 AVPCallback.log
17.01.2006 17:08 0 23990098.$$$
15.01.2006 10:03 1.323 History.txt
15.01.2006 09:57 278.016 regsearch.exe
10.11.2005 22:26 211 boot.ini

Log ReagSearch
REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 25.01.2006 10:00:52 for strings:
; '498478b0-90a5-4c96-be7b-9ebc96d3ca4c'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General]
"InterfaceList"="\\DEVICE\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\2]
"ServiceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,08,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,04,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,08,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

; End Of The Log...

Pianoman.ht · 25.01.2006, 11:47

Und zuletzt die WinPFind - Log :

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 15.01.2006 09:57:42 278016 C:\regsearch.exe

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 12.07.2005 18:04:22 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PECompact2 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 03.08.2004 23:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 03.08.2004 23:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
25.01.2006 08:36:54 S 2048 C:\WINDOWS\bootstat.dat
25.01.2006 09:49:36 H 54156 C:\WINDOWS\QTFont.qfn
01.12.2005 04:44:42 S 21633 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB905915.cat
02.12.2005 01:12:38 S 10925 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB910437.cat
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
25.01.2006 08:38:14 H 1024 C:\WINDOWS\system32\config\default.LOG
25.01.2006 09:49:18 H 1024 C:\WINDOWS\system32\config\SAM.LOG
25.01.2006 08:47:06 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
25.01.2006 10:26:18 H 1024 C:\WINDOWS\system32\config\software.LOG
25.01.2006 09:49:58 H 1024 C:\WINDOWS\system32\config\system.LOG
11.01.2006 06:52:16 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
19.01.2006 18:42:34 S 1047 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\7C8A03C4580C6B04FDF34357F3474EDC
19.01.2006 18:42:34 S 1370 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\B82262A5D5DA4DDACE9EDA7F787D0DEB
19.01.2006 18:42:34 S 126 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\7C8A03C4580C6B04FDF34357F3474EDC
19.01.2006 18:42:34 S 194 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\B82262A5D5DA4DDACE9EDA7F787D0DEB
09.01.2006 12:20:42 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\e99e7930-181e-483f-a118-650351e30de1
09.01.2006 12:20:42 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
25.01.2006 08:37:00 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 29.08.2002 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 06.05.2001 20:10:14 288768 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 29.08.2002 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 03.08.2004 23:58:24 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
20.10.2005 14:05:58 1743 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
10.11.2005 22:33:30 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
27.07.2005 11:43:46 1797 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
22.07.2005 15:51:48 1715 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
10.11.2005 22:18:06 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
14.01.2006 14:00:06 8 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DirectCDUserName.txt

Checking files in %USERPROFILE%\Startup folder...
13.07.2005 09:17:16 HS 84 C:\Dokumente und Einstellungen\Wolfgang\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
13.07.2005 09:46:00 HS 62 C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini
12.12.2005 12:57:38 2235201 C:\Dokumente und Einstellungen\***\Anwendungsdaten\Install.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6224f700-cba3-4071-b251-47cb894244cd}
ButtonText = ICQ Pro : C:\PROGRA~1\ICQ\ICQ.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
dmfnr.exe C:\WINDOWS\system32\dmfnr.exe
dmpuf.exe C:\WINDOWS\system32\dmpuf.exe
dmybd.exe C:\WINDOWS\system32\dmybd.exe
dmike.exe C:\WINDOWS\system32\dmike.exe
dmajp.exe C:\WINDOWS\system32\dmajp.exe
dmnvz.exe C:\WINDOWS\system32\dmnvz.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun ‘

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 25.01.2006 10:28:43

@Wildone :
Natürlich wollte ich die komplette Registry posten...;-)
Nee nur die Auszüge des von dir vorgegebenen Key, der auch im Beitrag von Haui45 aufgegriffen wurde. Aber selbst das wäre zu viel geworden für einen Post. Diesen Schlüssel meinte ich auch, was es mit dem auf sich hat.

Haui45 · 25.01.2006, 21:03

Dann wollen wir mal sehen...

Lade dir ClearProg herunter.

Starte den PC im abgesicherten Modus.

Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg.

Stell sicher, dass der TeaTimer von Spybot S&D deaktiviert ist!
Start-> Ausführen-> "regedit" ->Eingabetaste
Navigiere zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Auf der rechten Seiten jeweils Rechtsklick-> Löschen auf die u.g. Einträge

Zitat:

dmfnr.exe C:\WINDOWS\system32\dmfnr.exe
dmpuf.exe C:\WINDOWS\system32\dmpuf.exe
dmybd.exe C:\WINDOWS\system32\dmybd.exe
dmike.exe C:\WINDOWS\system32\dmike.exe
dmajp.exe C:\WINDOWS\system32\dmajp.exe
dmnvz.exe C:\WINDOWS\system32\dmnvz.exe

Lösche mit Killbox [1] folgendes:

Zitat:

C:\WINDOWS\system32\dmpuf.exe
C:\WINDOWS\system32\dmybd.exe
C:\WINDOWS\system32\dmike.exe
C:\WINDOWS\system32\dmajp.exe
C:\WINDOWS\system32\dmnvz.exe
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico

[1] -> Anwendungsbeispiel von Killbox

Zitat:

Zitat von Cidre

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Neustart.
Systemsteuerung-> Netzwerkverbindungen-> Rechtsklick auf deine Standardverbindung-> Eigenschaften-> Reiter "Allgemein"-> Doppelklick auf Internetprotokoll (TCP/IP)-> IP-Adresse automatisch beziehen-> OK-> Ok
PC neustarten.

Führe Regsearch nochmals aus, einmal mit dem Search-String

Zitat:

85.255.116.90

und einmal mit

Zitat:

85.255.112.207

Überprüfe diese Datei auf http://virusscan.jotti.org
C:\Windows\uniq

Lade DLLcompare herunter-> Starte das Programm->

Als Pfad sollte C:\Windows\System32 eingetragen sein (wenn nicht machst du das bitte)
Als Dateiendung musst du *.exe auswählen

-> Klick auf "Run Locate.com" -> Wenn fertig auf "Compare"-> Wenn fertig-> "Make a Log of what was found"

Kopiere diesen Text in ein Notepad-Fenster und speichere das Ganze als Find.bat ab (wichtig ist die Dateiendung "bat"):

Code:

ATTFilter

dir C:\Windows\System32\dm* >C:\Log.txt
start C:\Log.txt

Doppelklick auf Find.bat

Poste dann folgendes:
Den Inhalt von C:\Log.txt
die Regsearch-Ergebnisse
das DLLCompare-Log
das "Jotti-Ergebnis"
ein StartDreck-Log

HTH

Pianoman.ht · 29.01.2006, 17:00

So, hat etwas gedauert, bin etwas im Klausurstreß momentan...

1.) Log.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6C8F-A52B

Verzeichnis von c:\Windows\system32

03.08.2004 23:57 225.280 dmadmin.exe
03.08.2004 23:57 28.672 dmband.dll
03.08.2004 23:57 61.440 dmcompos.dll
29.08.2002 13:00 330.752 dmconfig.dll
29.08.2002 13:00 273.920 dmdlgs.dll
03.08.2004 23:57 200.704 dmdskmgr.dll
29.08.2002 13:00 138.752 dmdskres.dll
03.08.2004 23:57 181.248 dmime.dll
29.08.2002 13:00 18.432 dmintf.dll
03.08.2004 23:57 44.032 dmlmd.exe
03.08.2004 23:57 35.840 dmloader.dll
29.08.2002 13:00 19.456 dmocx.dll
03.08.2004 23:57 15.872 dmremote.exe
03.08.2004 23:57 82.432 dmscript.dll
03.08.2004 23:57 24.064 dmserver.dll
03.08.2004 23:57 105.984 dmstyle.dll
03.08.2004 23:57 103.424 dmsynth.dll
03.08.2004 23:57 104.448 dmusic.dll
04.08.2004 00:10 59.392 dmutil.dll
29.08.2002 13:00 61.440 dmview.ocx
20 Datei(en) 2.115.584 Bytes
0 Verzeichnis(se), 3.336.179.712 Bytes frei

2.) RegSearch :
In beiden Fällen nix gefunden

3.) DLLCompare-Log
Ähm, eine Datei dieses Namens finde ich nirgends, wie heißt die denn richtig?

4.) C:\Windows\System\uniq
Die Datei kann nicht hochgeladen werden da sie angeblich >10MB ist, angezeigt werden 43KB...

5.) StartDreck - Log
ist 1.113KB groß, kann ich hier weder posten noch hochladen...Was tun?

Haui45 · 29.01.2006, 17:11

zu 1.)
C:\Windows\System32\dmlmd.exe ist mit ziemlicher Wahrscheinlichkeit Malware. Bitte auf http://virusscan.jotti.org überprüfen.

zu 2.)
Sehr gut.

zu 3.)
"Make a Log of what was found" → Datei abspeichern wo du willst und dann posten.

zu 4.)
Lösche die Datei mit Killbox.

zu 5.)
Sehr seltsam...
Lade das Log hier rauf und poste den Link.

Umleitung der Suchergebnisse bei Google, Help!

Plagegeister aller Art und deren Bekämpfung: Umleitung der Suchergebnisse bei Google, Help!