Hallo,

ich stelle an meinem Rechner ein seltsames Phänomen fest bei dem ich nicht mehr weiterkomme.
Ich nutze eine lizensierte Version vom "Spyware Doctor 5.0" und seit 2 Tagen habe ich den Effekt, daß sobald ich eine VPN-Verbindung in meine Firma aufbaue, die Meldung kommt daß svchost.exe versucht folgende Nameserver-Einträge in die VPN-Verbindung einzutragen: 85.255.116.56
85.255.112.146

Nun habe ich mehrfach gelesen, daß das eigentlich ein Trojaner sein soll, aber egal womit ich scanne - ich finde einfach nicht - HJT findet lt. Log auch nichts. Hat irgendjemand von euch eine Idee, was ich noch tun kann ? Ich kann natürlich auch gerne das HJT-Log posten, kein Thema.


Grüße,

Markus.

Hallo.

Die Wahrscheinlichkeit ist ziemlich groß das bei dir ein sogenannter DNS-Changer am Werk ist.
Dieser versucht deine Daten umzuleiten über einen ausländischen Server.
Da aber eine VPN-Verbindung zur Firma hergestellt wird, bleibt dies zu deinem Glück nicht unbekannt!

Arbeite daher das hier ab:



Erstellung eines Hijacklog

Poste als erstes ein Hijacklog, wie es erstellt wird findest du im Anleitungsforum.
ACHTUNG:
Bitte durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.


Arbeiten mit MWAV (eScan)


Wähle bitte die bei der Installation -> ENGLISH!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Hy,

erstmal Danke für die Hilfe

Hier zunächst das HJT-Log (wie gesagt, ich kann da erstmal nichts "unnormales" erkennen):

Logfile of HijackThis v1.99.1
Scan saved at 15:42:59, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\DIRECT~2\DUService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\WinRoute Pro\winroute.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\WinRoute Pro\wrctrl.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
H:\Internet\Download\HiJack\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [WrCtrl] "C:\Programme\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: h**p://***.de
O15 - Trusted Zone: h**p://***.de
O15 - Trusted Zone: h**p://***.de
O15 - Trusted Zone: h**p://***.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121877364515
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - h**p://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC35759C-852D-44CE-B8E8-3900E9645067}: NameServer = 192.168.0.55
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9CE0114-DE18-43D2-8ABB-77CEBFA65643}: NameServer = 192.168.0.55
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOAD\RNetPin.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: DirectUpdate engine (DirectUpdate) - h**p://www.directupdate.net/ - C:\PROGRA~1\DIRECT~2\DUService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Visual Studio 2005 Remote Debugger (msvsmon80) - Unknown owner - P:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - E:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92Agent - Oracle Corporation - E:\oracle\ora92\bin\agntsrvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - E:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92HTTPServer - Unknown owner - E:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing)
O23 - Service: OracleOraHome92PagingServer - Unknown owner - E:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - E:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - E:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner - E:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleService*** - Oracle Corporation - e:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WinRoute Pro 4.2 (WinRoute) - Unknown owner - C:\Programme\WinRoute Pro\winroute.exe

Kleine Zwischeninfo:

eScan läuft noch immer, deshalb noch kein weiteres Log.
Allerdings machen mir direkt die ersten 6 Meldungen doch schwerstens Kopfzerbrechen:

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Object "savenow Adware" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.

Da frag ich mich doch, wofür ich Anti-Spyware und haste nicht gesehen an Programmen gekauft und installiert habe...

Bis später,

Markus.

Was lange währt...

hier das Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 15 16:11:54 2007 => Version 9.1.9 (C:\DOKUME~1\ADMINI~1.ROU\LOKALE~1\Temp\mexe.com)
Sun Apr 15 16:08:49 2007 => Virus Database Date: 4/13/2007
Sun Apr 15 16:11:01 2007 => Virus Database Date: 4/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 15 16:12:51 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 16:12:51 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 16:12:55 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Apr 15 16:27:17 2007 => File C:\mIRC\mirc32.exe tagged as "not-a-virus:Client-IRC.Win32.mIRC.59". No Action Taken.
Sun Apr 15 18:45:26 2007 => Scanning File E:\oracle\ora92\ldap\odi\conf\taggedexportsample.map.master
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 15 16:12:51 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 16:12:51 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 16:12:55 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Apr 15 16:12:48 2007 => Offending Folder found: C:\Programme\powerstrip
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 15 16:13:05 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Sun Apr 15 16:13:09 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

So,

nun bin ich mit meinem Latein wirklich am Ende.
Egal mit welchem Scanner ich sonst rangehe - es wird nichts gefunden - eScan findet aber scheinbar doch etwas - aber wie entferne ich das jetzt ?

Ein wenig Hilfe wäre jetzt wirklich nett....


Grüße,

Markus.

So,

ich hab den Scan nun nochmals laufen lassen - diesmal nicht mit dem Admin-Konto sondern mit meinem. Hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 15 23:28:04 2007 => Version 9.1.9 (C:\DOKUME~1\MARKUS~1.ROU\LOKALE~1\Temp\mexe.com)
Sun Apr 15 23:12:43 2007 => Virus Database Date: 4/15/2007
Sun Apr 15 23:14:18 2007 => Virus Database Date: 4/15/2007
Sun Apr 15 23:14:29 2007 => Virus Database Date: 4/15/2007
Sun Apr 15 23:27:50 2007 => Virus Database Date: 4/15/2007
Sun Apr 15 23:29:52 2007 => Virus Database Date: 4/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 15 23:13:33 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:13:33 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:13:33 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:13:34 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
Sun Apr 15 23:28:51 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:28:55 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:28:57 2007 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Sun Apr 15 23:28:58 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 15 23:13:33 2007 => Offending file found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Recent\internet.lnk
Sun Apr 15 23:13:33 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 23:13:33 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 23:13:34 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Sun Apr 15 23:28:51 2007 => Offending file found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Recent\internet.lnk
Sun Apr 15 23:28:55 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 23:28:57 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\componentone studio.net\flexgrid for .net\samples\vb.lnk
Sun Apr 15 23:28:58 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Apr 15 23:13:32 2007 => Offending Folder found: C:\Programme\powerstrip
Sun Apr 15 23:13:33 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Startmenü\programme\powerstrip
Sun Apr 15 23:13:33 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Startmenü\Programme\powerstrip
Sun Apr 15 23:28:43 2007 => Offending Folder found: C:\Programme\powerstrip
Sun Apr 15 23:28:51 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Startmenü\programme\powerstrip
Sun Apr 15 23:28:52 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Markus.ROUTER-01\Startmenü\Programme\powerstrip
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 15 23:13:29 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\powerstrip !!!
Sun Apr 15 23:13:39 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##D4o1#Volume (H) !!!
Sun Apr 15 23:13:43 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Sun Apr 15 23:13:48 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L !!!
Sun Apr 15 23:13:48 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9943cd1a-bb5c-11da-b7bc-00138f7007e5} !!!
Sun Apr 15 23:28:39 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\powerstrip !!!
Sun Apr 15 23:29:02 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##D4o1#Volume (H) !!!
Sun Apr 15 23:29:07 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Sun Apr 15 23:29:12 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L !!!
Sun Apr 15 23:29:12 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9943cd1a-bb5c-11da-b7bc-00138f7007e5} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Interessanter Weise sind die nun alle doppelt... ich versteh die Welt nicht mehr, zumal ich auch schon Blacklight und alles was ich kenne habe drüberlaufen lassen - ausser eScan findet kein Scanner irgendwas... was kann ich denn noch einsetzen was mir diesen "seltsamen" Befall entfernen kann ? Oder hab ich ausser "neu aufsetzen" keinerlei Chancen mehr ?

*ich verzweifel an meiner Büchse*


Grüße,

Markus.