Hallo Freunde,
seit ein paar Tagen öffnet sich alle paar Minuten ein Popup "expedia.de" auf meinem PC. Die angezeigte Adresse ist
h**p://2.27.51.163/?code=%......usw
Ich habe XP als Betriebssystem, Fritzbox WLAN fon 7140 als Router und wie gesagt der Internet-Browser ist ausgeschaltet. In der Fritzbox sind keine Ports geöffnet. Das Problem tritt nicht auf, wenn ich die Fritzbox ausschalte. Ich habe Webwasher installiert, hat aber nichts gebracht. Kann mir jemand sagen, was zu tun ist um das lästige Ding loszuwerden?
Gruß jäger

Eine Anleitung zur Schädlingsbekämpfung findest du a.a. hier
ComSafe - Checkliste Schädlingsbeseitigung

Hallo big surfer,
besten Dank für die Antwort, aber keiner der angegebenen Links funktioniert bei mir. Außerdem vermute ich das dies ein Problem mit dem Firewall der Fritzbox ist, da alles o.k. ist wenn ich die FB ausschalte. Eigentlich müsste der Firewall doch alle Zugriffe von außen verhindern.
jäger

Hallo und im Trojaner Board!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


Gruß
Sunny

Hallo Sunny,
hier die Listen:
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\

29.07.2007 07:58 3.736 checkrun.txt
29.07.2007 07:58 1.063.768.064 hiberfil.sys
29.07.2007 07:58 1.598.029.824 pagefile.sys
12.07.2007 14:26 211 boot.ini
05.07.2007 12:10 212.786 MSDELog.log


----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\system32

29.07.2007 07:58 1.158 wpa.dbl
27.07.2007 09:34 681 QuickTime.qtp
23.07.2007 08:44 136.464 FNTCACHE.DAT
21.07.2007 10:28 86 setup.log
05.07.2007 12:52 398.514 perfh009.dat
05.07.2007 12:52 60.714 perfc009.dat
05.07.2007 12:52 409.404 perfh007.dat
05.07.2007 12:52 71.592 perfc007.dat
05.07.2007 12:52 949.982 PerfStringBackup.INI
05.07.2007 12:10 2.193.984 MSDELog.log
28.06.2007 09:57 16.256.984 MRT.exe

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\Prefetch

29.07.2007 11:33 11.076 FIND.EXE-0EC32F1E.pf
29.07.2007 11:33 16.204 CMD.EXE-087B4001.pf
29.07.2007 11:33 15.906 VERCLSID.EXE-3667BD89.pf
29.07.2007 11:31 61.764 IEXPLORE.EXE-2CA9778D.pf
29.07.2007 11:29 56.818 OPERA.EXE-24550E7A.pf
29.07.2007 11:28 15.168 NOTEPAD.EXE-336351A9.pf
29.07.2007 11:28 16.062 HITHIS.EXE-1F3ADBB3.pf
29.07.2007 11:27 14.814 HIJACKTHIS.EXE-2FB71CBF.pf
29.07.2007 11:14 83.200 ACRORD32INFO.EXE-19D979CC.pf
29.07.2007 11:14 13.894 RUNDLL32.EXE-15E010CE.pf
29.07.2007 10:45 42.416 VIDEOCONTROL.EXE-17C44C40.pf
29.07.2007 10:45 42.890 WMIPRVSE.EXE-28F301A9.pf
29.07.2007 10:07 91.796 HELPSVC.EXE-2878DDA2.pf
29.07.2007 09:24 462.500 Layout.ini
29.07.2007 08:55 15.788 BRMFCMON.EXE-2D9F7716.pf
29.07.2007 08:55 13.848 IGFXSRVC.EXE-2FB63FE8.pf
29.07.2007 08:55 36.040 LOGONUI.EXE-0AF22957.pf
29.07.2007 08:18 8.280 LOGON.SCR-151EFAEA.pf
29.07.2007 08:01 69.042 MSIMN.EXE-0B61806C.pf
29.07.2007 07:59 72.060 WUAUCLT.EXE-399A8E72.pf
29.07.2007 07:59 46.634 WGATRAY.EXE-0ED38BED.pf
29.07.2007 07:59 25.322 CSC.EXE-1113BFA6.pf
29.07.2007 07:59 4.570 CVTRES.EXE-13DEB540.pf
29.07.2007 07:59 954.880 NTOSBOOT-B00DFAAD.pf
28.07.2007 16:58 50.628 AVNOTIFY.EXE-22AE9451.pf
28.07.2007 16:58 46.044 UPDATE.EXE-13D57D76.pf
28.07.2007 16:58 14.228 PREUPD.EXE-358AA1C1.pf
28.07.2007 16:29 15.350 SPIDER.EXE-2D998CA6.pf
28.07.2007 16:19 97.740 ACRORD32.EXE-153330F0.pf
28.07.2007 12:02 75.954 REGISTRYCLEANER.EXE-2ACFEEF7.pf
28.07.2007 12:01 63.462 INTEGRATOR.EXE-1C936896.pf
28.07.2007 09:02 26.304 WWASHER.EXE-1C20478F.pf
27.07.2007 17:15 64.188 DISKCLEANER.EXE-015A6E3D.pf
27.07.2007 17:15 57.854 SYSTEMOPTIMIZER.EXE-191231CF.pf
27.07.2007 14:04 16.398 WWASHER.EXE-3129ED43.pf
27.07.2007 10:58 44.952 DFRGNTFS.EXE-269967DF.pf
27.07.2007 10:58 15.964 DEFRAG.EXE-273F131E.pf
27.07.2007 10:33 60.514 WINWORD.EXE-3395695A.pf
27.07.2007 09:42 12.944 WASH34.EXE-0253014C.pf
27.07.2007 09:29 53.614 AVCENTER.EXE-37584419.pf
26.07.2007 14:39 21.142 WMIAPSRV.EXE-1E2270A5.pf
26.07.2007 14:39 76.960 PMC.EXE-0512DAB1.pf
26.07.2007 14:39 75.456 PMC.SERVICE.MAIN.EXE-36FAE5A0.pf
26.07.2007 14:39 36.506 DEVICEINSTALL.EXE-312D0810.pf
26.07.2007 14:32 15.202 DXVAINFO.EXE-3A683EE1.pf
26.07.2007 14:31 61.542 PSST.EXE-36AF682B.pf
26.07.2007 14:30 24.326 DWWIN.EXE-30875ADC.pf
26.07.2007 14:30 110.654 DUMPREP.EXE-1B46F901.pf
26.07.2007 14:29 18.302 TASKMGR.EXE-20256C55.pf
26.07.2007 08:01 12.312 RUNDLL32.EXE-268BFF96.pf
26.07.2007 07:10 16.918 RUNDLL32.EXE-2CB36871.pf
26.07.2007 07:04 31.274 RUNDLL32.EXE-16950A12.pf
26.07.2007 07:04 31.010 RUNDLL32.EXE-2ADD1CA8.pf
26.07.2007 07:04 30.266 RUNDLL32.EXE-38EC3EEE.pf
26.07.2007 07:04 30.704 RUNDLL32.EXE-1D9E71DC.pf
26.07.2007 06:47 81.560 NKBPPROJ.EXE-1B1E1434.pf
26.07.2007 06:47 48.708 NKBTRANSFER.EXE-3538147A.pf
26.07.2007 06:47 15.888 NKMC.EXE-0A084E25.pf
26.07.2007 06:47 12.162 RUNDLL32.EXE-451FC2C0.pf
25.07.2007 17:01 17.918 AVGNT.EXE-36CA4640.pf
25.07.2007 16:24 16.278 RUNDLL32.EXE-2AE6C217.pf
25.07.2007 16:24 63.620 PHOTOSHOP.EXE-2E1C999E.pf
25.07.2007 13:34 5.190 OSE.EXE-313A091F.pf
25.07.2007 13:34 37.216 MSIEXEC.EXE-2F8A8CAE.pf
25.07.2007 11:07 42.548 HOME PHOTO SERVICE LIGHT.EXE-2ACE24F9.pf
24.07.2007 22:01 18.242 RUNDLL32.EXE-42977733.pf
24.07.2007 16:58 13.938 REGSVR32.EXE-25EEFE2F.pf
24.07.2007 09:51 17.580 RUNDLL32.EXE-4AAEEAEF.pf
23.07.2007 13:34 45.748 NTVDM.EXE-1A10A423.pf
23.07.2007 13:15 64.694 GOOGLEEARTH.EXE-0978F2AD.pf
23.07.2007 10:35 18.884 RUNDLL32.EXE-4B3E4F9C.pf
23.07.2007 08:46 17.874 RUNDLL32.EXE-37078A30.pf
23.07.2007 08:46 21.292 BRCTRCEN.EXE-3767C3B4.pf
23.07.2007 08:38 41.086 DOTNETINSTALLER.EXE-11C3F9C7.pf
23.07.2007 08:38 23.030 DIVXCOMPONENTINSTALLER.EXE-18D6D7C2.pf
23.07.2007 08:36 43.712 INSTALLUTIL.EXE-1BA6BC99.pf
23.07.2007 08:33 42.270 REGASM.EXE-1A206481.pf
23.07.2007 08:26 27.668 SETUP.EXE-3A598521.pf
23.07.2007 08:25 56.740 SETUP.EXE-1CBD7780.pf
23.07.2007 08:14 70.018 DREAMWEAVER.EXE-08C83652.pf
80 Datei(en) 4.363.548 Bytes
0 Verzeichnis(se), 73.451.307.008 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS

29.07.2007 08:00 1.470.927 WindowsUpdate.log
29.07.2007 08:00 1.005.477 setupapi.log
29.07.2007 07:58 259 wiadebug.log
29.07.2007 07:58 0 0.log
29.07.2007 07:58 50 wiaservc.log
29.07.2007 07:58 2.048 bootstat.dat
29.07.2007 00:25 32.638 SchedLgU.Txt
25.07.2007 10:47 7.680 Thumbs.db
23.07.2007 13:35 409 cmbtll.ini
23.07.2007 13:35 157 cmbtctl.ini
23.07.2007 13:35 525 combit.ini
23.07.2007 08:37 7.502 KB891220.log
23.07.2007 08:33 514 win.ini
20.07.2007 19:19 218.370 setupact.log
16.07.2007 15:22 0 OpPrintServer.INI
12.07.2007 14:26 227 system.ini
11.07.2007 22:42 1.374 imsins.log
11.07.2007 22:42 267.330 comsetup.log
11.07.2007 22:42 124.261 iis6.log
11.07.2007 22:42 162.364 ntdtcsetup.log
11.07.2007 22:42 43.340 ocmsn.log
11.07.2007 22:42 307.771 tsoc.log
11.07.2007 22:42 14.210 KB936357.log
11.07.2007 22:42 392.934 ocgen.log
11.07.2007 22:42 39.741 msgsocm.log
11.07.2007 22:42 774.672 FaxSetup.log
05.07.2007 12:12 1.355 imsins.BAK
05.07.2007 12:12 19.307 KB904706.log
13.06.2007 10:32 20.213 KB929123.log

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\tasks

29.07.2007 07:58 6 SA.DAT
27.07.2007 17:15 400 1-Klick-Wartung.job
04.08.2004 14:00 65 desktop.ini
3 Datei(en) 471 Bytes
0 Verzeichnis(se), 73.451.302.912 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\temp

29.07.2007 08:53 255 WGAErrLog.txt
29.07.2007 07:58 409 WGANotify.settings
29.07.2007 07:58 49.152 CompiledAdapter.dll
29.07.2007 07:58 16.384 Perflib_Perfdata_104.dat
28.07.2007 16:58 0 Upd3B5.tmp
27.07.2007 16:58 0 Upd217.tmp
26.07.2007 16:58 0 Upd38B.tmp
25.07.2007 16:58 0 Upd239.tmp
24.07.2007 16:58 0 Upd199.tmp
23.07.2007 16:49 0 UpdFE.tmp
22.07.2007 16:49 0 Upd1DD.tmp
21.07.2007 16:49 0 Upd215.tmp
20.07.2007 16:49 0 Upd43C.tmp
19.07.2007 16:49 0 UpdB9.tmp
18.07.2007 16:49 0 Upd15A.tmp
17.07.2007 16:49 0 Upd77.tmp
17.07.2007 08:53 0 Upd4C.tmp
16.07.2007 16:49 0 Upd14C.tmp
15.07.2007 16:49 0 Upd1E4.tmp
14.07.2007 16:49 0 Upd7D.tmp
13.07.2007 16:49 0 UpdCF.tmp
12.07.2007 16:49 0 Upd73.tmp
12.07.2007 10:01 5.913 NetFxUpdate_v1.1.4322.log
11.07.2007 22:42 14.888 netfxsl.log
11.07.2007 16:49 0 UpdF7.tmp
10.07.2007 16:49 0 Upd117.tmp
10.07.2007 14:24 16.384 Perflib_Perfdata_b0.dat
09.07.2007 16:49 0 Upd192.tmp
08.07.2007 16:49 0 Upd61.tmp
07.07.2007 16:48 0 Upd1A0.tmp
06.07.2007 12:56 0 Upd81.tmp
05.07.2007 12:56 0 Upd52.tmp
04.07.2007 16:00 0 Upd4A.tmp
04.07.2007 12:54 0 UpdB8.tmp
01.07.2007 10:21 0 Upd49.tmp
27.06.2007 08:10 0 Upd4F.tmp


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\DOKUME~1\Manfred\LOKALE~1\Temp

29.07.2007 11:33 130.309 filelist.txt
29.07.2007 07:58 16.384 Perflib_Perfdata_44c.dat
26.07.2007 14:43 368.640 EPG.mdb
3 Datei(en) 515.333 Bytes
0 Verzeichnis(se), 73.451.298.816 Bytes frei




Logfile of HijackThis v1.99.1
Scan saved at 11:28:27, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\FonTipp\FonTipp.exe
C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.0.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\DVBViewerTE\AP Launch.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Dokumente und Einstellungen\Manfred\Desktop\HiThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [FonTipp] C:\Programme\FonTipp\start.exe min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - Startup: AP Launch.lnk = C:\Programme\DVBViewerTE\AP Launch.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON CardMonitor.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Schnapper - {9AB571AA-CE3F-44D6-A37A-9BA1A3A9584E} - C:\Programme\Schnapper\Schnapper.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

Hoffe das ist alles ok und ihr findet das Problem.
Gruß jäger

Kann nicht viel erkennen aus den Files, führe mal zusätzlich noch den Scan hiermit durch:


Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Sunny

Hat etwas gedauert, habe zuerst die Datei nicht gefunden.

"Silent Runners.vbs", revision R51, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"TOSCDSPD" = "C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" ["TOSHIBA"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Reminder" = "C:\Programme\Microsoft Money\System\reminder.exe" [MS]
"PMCS" = ""C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"(Default)" = "(empty string)" [file not found]
"TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."]
"HWSetup" = "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP" ["TOSHIBA CO.,LTD."]
"SVPWUTIL" = "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL" ["TOSHIBA"]
"Zooming" = "ZoomingHook.exe" ["TOSHIBA"]
"TCtryIOHook" = "TCtrlIOHook.exe" ["TOSHIBA"]
"TPSMain" = "TPSMain.exe" ["TOSHIBA Corporation"]
"SmoothView" = "C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" ["TOSHIBA Corporation"]
"TFncKy" = "TFncKy.exe" ["TOSHIBA Corporation"]
"Tvs" = "C:\Programme\TOSHIBA\Tvs\TvsTray.exe" ["TOSHIBA Corporation"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"PadTouch" = "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" ["TOSHIBA"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"BrMfcWnd" = "C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN" [empty string]
"SetDefPrt" = "C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" ["Brother Industories, Ltd."]
"ControlCenter3" = "C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun" ["Brother Industries, Ltd."]
"FonTipp" = "C:\Programme\FonTipp\start.exe min" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"Pinnacle WebUpdater" = ""C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles" [null data]
"PMCRemote" = "C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" ["Pinnacle Systems"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "*b" (unwritable string)
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {HKLM...CLSID} = "TouchPad PropSheet Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{E91B2703-013E-4A99-AD33-2B6FB00AA356}" = "RecordNow! ContextMenuExt"
-> {HKLM...CLSID} = "RecordNow! ContextMenuExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Manfred\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Manfred" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Manfred\Startmenü\Programme\Autostart
"AP Launch" -> shortcut to: "C:\Programme\DVBViewerTE\AP Launch.exe" [empty string]
"Microsoft Office OneNote 2003 Schnellstart" -> shortcut to: "C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE /tsr" [MS]
"Sonic CinePlayer Quick Launch" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe" ["Sonic Solutions"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"EPSON CardMonitor" -> shortcut to: "C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.0.exe" ["SEIKO EPSON CORPORATION"]
"NkbMonitor.exe" -> shortcut to: "C:\Programme\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{99996159-755D-4D62-AB84-F2B0082EBDFC}\(Default) = "PMC Taskbar"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "mscoree.dll" [MS]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{D7783732-69C6-4A28-BE53-618CC4609617}\
"ButtonText" = "eBay"
"Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0003-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{9AB571AA-CE3F-44D6-A37A-9BA1A3A9584E}\
"ButtonText" = "Schnapper"
"CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
-> {HKLM...CLSID} = "Toolbar Extension for Executable"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"Exec" = "C:\Programme\Schnapper\Schnapper.exe" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
MSSQL$PINNACLESYS, MSSQL$PINNACLESYS, ""C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS" [MS]
Pinnacle Systems Media Service, PinnacleSys.MediaServer, "c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe" [null data]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."]


---------- (launch time: 2007-07-29 12:24:53)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 24 seconds, including 4 seconds for message boxes)

Hallo,

also ich seh da keine schädlichen Einträge im Silentrunners Logfile, wenn du also Adware-Befall hast, dann ist diese nicht so offensichtlich. Denkbar wäre, dass noch ein Programm dir ständig die Popups öffnet, oder du bist schlicht und ergreifend auf Internetseiten unterwegs, die derartige Popups machen. Dagegen helfen beim Firefox Erweiterungen wie noscript und Adblock+.

Mach doch auch noch mal einen Check mit eScan, vllt. wird dadurch noch was gefunden, was dafür verantwortlich sein könnte. Folge dem Link in meiner Signatur und lies dir die Anleitung durch.

Habe alles so wie angegeben gemacht.
Es kam eine Ausschrift, das Adware gefungen wurde, aber nur mit der Vollversion beseitigt werden könnte. Im Anhang die find.bat Datei. Am Ende steht, ich hätte die falsche Sprache gewählt - ich hatte German gewählt - es war doch Deutsch oder Englisch verlangt.
Übrigens bin ich nicht dauernd auf Seiten unterwegs, die derartige Popups machen, sondern überhaupt nicht im Internet wenn die Popups kommen. Nachden ich escan gemacht habe kam nur noch einmal das besagte expedia.de-popup, obwohl escan sagt, er habe nichts verändert.

@echo off
REM Version 2007.06.16.01
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
:INITIAL
set TIMESTART=%TIME%
set LOG=^>^> "%systemdrive%\bases_x\eScan_neu.txt"
set MODUS=%1
set linecnt=1


REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
:OS
IF "%OS%"=="Windows_NT" goto srchwd
IF "%OS%"=="" goto wrngos

cls
echo.
echo.
echo [XX______________________]
echo.
echo Checking OS ...

REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************

REM 2.0.1 Log-Datei (mwav.log) wird gesucht
REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),
REM wird diese umbenannt.

:srchwd
dir /A %systemdrive% | findstr /i "bases_x"
if %errorlevel% equ 0 goto srchlog
mkdir %systemdrive%\bases_x
goto cp2wd
:srchlog
dir %systemdrive%\bases_x | findstr /i "mwav.log"
if %errorlevel% equ 1 goto cp2wd
ren %systemdrive%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"

REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
:cp2wd
dir /s /b %temp%\mwav.log > %systemdrive%\bases_x\tmp.log
set /P FILE=<%systemdrive%\bases_x\tmp.log
copy "%FILE%" %systemdrive%\bases_x\

cls
echo.
echo.
echo [XXXX____________________]
echo.
echo Copying mwav.log ...

REM 2.0.2 Installationssprache wird ermittelt
REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.
REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.
REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

:getlang
reg query HKCR\eut /v "Language" > nul
if %errorlevel% equ 1 goto engpath
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
if "%eLang%"=="English" goto engpath
if "%eLang%"=="German" goto germpath
goto wrnglang

cls
echo.
echo.
echo [XXXXXX__________________]
echo.
echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:germpath

REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

if "%MODUS%"=="1" goto gmode1
if "%MODUS%"=="2" goto gmode2
if "%MODUS%"=="3" goto gmode3

for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log

cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto gstart

:gmode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
goto gstart

:gmode2
findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
goto gstart

:gmode3
findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_cut.log

REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM Versionsnummer der find.bat
REM OS-Version: per ver
REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTIONS% (SBO)
REM Im normalen Modus ist SBO nicht gesetzt.
REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM Programmversion: wird aus HKCR\eut gelesen
REM Sprache: wurde bereits bestimmt (:getlang)
REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM Eintrag) wird ins Log geschrieben.

:gstart
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2007.06.16.01 %LOG%
ver %LOG%
if "%SAFEBOOT_OPTIONS%"=="" (echo Bootmodus: NORMAL %LOG%
) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "delims=> tokens=2" %%i in ('findstr "Virus-Datenbank" %systemdrive%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
more %systemdrive%\bases_x\tmp.log %LOG%
echo. %LOG%

cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...

REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...

REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.

echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Datei" %systemdrive%\bases_x\mwav_cut.log | findstr "infiziert" | findstr "von" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "markiert" %systemdrive%\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...

REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...

REM 2.1.5 Deutsch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Infizierter" %systemdrive%\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
findstr "Abbruch" %systemdrive%\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
findstr "Modul" %systemdrive%\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Wahrscheinlich" %systemdrive%\bases_x\mwav_cut.log | findstr "Passwort" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
echo Zeilen die nicht dem Standard entsprechen: %LOG%
findstr /V /R /F:%systemdrive%\bases_x\tmp.log "^#" | findstr /V "127.0.0.1" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Gescannte" %systemdrive%\bases_x\mwav_cut.log | findstr /v "Scanne" %LOG%
findstr "Gefundene" %systemdrive%\bases_x\mwav_cut.log | findstr "Viren" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "desinfizierten" %LOG%
findstr "Umbenannte" %systemdrive%\bases_x\mwav_cut.log | findstr "Dateien" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "schten" | findstr "Dateien" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "Fehler" %LOG%
findstr "Dauer" %systemdrive%\bases_x\mwav_cut.log | findstr "Scans" | findstr "bisher" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "aktiviert" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Specher" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Registry" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Startup-Ordner" %systemdrive%\bases_x\tmp.log %LOG%
findstr "System-Ordner" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Systembereiche" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Dienste" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Festplatten" %systemdrive%\bases_x\tmp.log | findstr "der" %LOG%
findstr "aller" %systemdrive%\bases_x\tmp.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...

goto end


REM *********************************************************************************
REM *********************************************************************************
REM 2.2 Englischsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:engpath

REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine neue Logdatei überführt.

if "%MODUS%"=="1" goto emode1
if "%MODUS%"=="2" goto emode2
if "%MODUS%"=="3" goto emode3

for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto emode

:emode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log^|findstr /v "File"') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
goto emode

:emode2
findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
goto emode

:emode3
findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_cut.log


REM 2.2.1 Englisch: Header der Reportdatei wird erstellt.
REM OS-Version, Programmversion, Datum der Erkennungsdatei, Installationssprache, Batch-Version, Safe Mode

:emode
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2007.06.16.01 %LOG%
ver %LOG%
if "%SAFEBOOT_OPTIONS%"=="" (echo Bootmodus: NORMAL %LOG%
) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "delims=> tokens=2" %%i in ('findstr /i "Virus" %systemdrive%\bases_x\mwav.log^|findstr /i "Date"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
more %systemdrive%\bases_x\tmp.log %LOG%
echo. %LOG%

cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...

REM 2.2.2 Englisch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%
findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "found" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...

REM 2.2.3 Englisch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr /i "File" %systemdrive%\bases_x\mwav_cut.log | findstr /i "infected" | findstr /i "by" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "tagged" %systemdrive%\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...

REM 2.2.4 Englisch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...

REM 2.2.5 Englisch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Possibly" %systemdrive%\bases_x\mwav_cut.log | findstr "password" | findstr "protected" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
findstr /V /R /F:%systemdrive%\bases_x\tmp.log "^#" | findstr /V "127.0.0.1" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...

REM 2.2.6 Englisch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Total" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Critical" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Disinfected" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Renamed" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Deleted" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Errors" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Elapsed:" %systemdrive%\bases_x\mwav_cut.log %LOG%
findstr "Scanned:" %systemdrive%\bases_x\mwav_cut.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...

REM 2.2.7 Englisch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "abled" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Memory" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Registry" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Startup" %systemdrive%\bases_x\tmp.log %LOG%
findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Folder" %LOG%
findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Area" %LOG%
findstr "Services" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Drive" %systemdrive%\bases_x\tmp.log %LOG%
findstr "All" %systemdrive%\bases_x\tmp.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...

goto end

REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss
REM *********************************************************************************
REM *********************************************************************************

REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
rem del %systemdrive%\bases_x\tmp.log
rem del %systemdrive%\bases_x\mwav_clean.log
rem del %systemdrive%\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXXXX]
echo.
echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
cls
echo.
echo.
echo Auswertung beendet.
echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
notepad %systemdrive%\bases_x\eScan_neu.txt
exit

REM 4.1 Abbruch: Falsches Betriebssystem
:wrngos
cls
color 04
echo.
echo Ihre Windowsversion wird nicht unterstützt.
echo Die Stapelverarbeitung wird abgegbrochen.
echo.
pause
exit

REM 4.2 Abbruch: falsche Installationssprache
:wrnglang
cls
color 04
echo.
echo Fehler bei der Ermittlung der Installationssprache!
echo.
echo Diese Batchdatei kann nur Logdateien in englischer und deutscher Sprache
echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.
echo.
echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
echo die Sprache bei eScan zu ändern.
echo.
echo Die Stapelverarbeitung wird abgebrochen.
echo.
pause
exit

Ähm, du solltest nicht den Inhalt der FIND.BAT posten, sondern den Output davon, also das was dir die find.bat liefert!

Hallo Arne,
Entschuldigung, dass ich mich etwas ....anstelle, aber ich hoffe, dass das jetzt ok ist.
Vielen Dank für deine Geduld
jäger

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Manfred\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
System found infected with password-finder 2.1 PSWTool (password.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with password-finder 2.1 PSWTool (password.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\Tools\password.exe//data0002 markiert als not-a-virus:PSWTool.Win32.Finder.a. Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc762.exe//data0002 markiert als not-a-virus:PSWTool.Win32.Finder.a. Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc762.exe//data0002 markiert als not-a-virus:PSWTool.Win32.Finder.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Manfred\Desktop\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\Manfred\Favoriten\ebay.url
Offending file found: C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\tools\password.exe
Offending file found: C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\tools\password.exe
Offending file found: C:\Dokumente und Einstellungen\Manfred\Desktop\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\Manfred\Desktop\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\toshiba\pcdiag\v3.0
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Update\AVUPDATE_45817ac8\engine\nt\avrep.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\Tools\rminstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\HWP\DAT\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc196\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Update\AVUPDATE_45817ac8\engine\nt\avrep.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\Tools\rminstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\HWP\DAT\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc196\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\Update\AVUPDATE_45817ac8\engine\nt\avrep.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\Tools\rminstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\HWP\DAT\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc196\HWPROG.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 126521
Gescannte Dateien: 127158
Gescannte Dateien: 127560
Gefundene Viren: 6
Gefundene Viren: 2
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 45
Anzahl Fehler: 44
Anzahl Fehler: 44
Dauer des Scans bisher: 01:11:03
Dauer des Scans bisher: 01:11:46
Dauer des Scans bisher: 01:11:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:24:11,28
Batchende: 15:24:43,62

Hallo Manfred

den ersten Block (Infektionsmeldungen) sollte man von eScan nicht allzu ernst nehmen, da dort rel. viele Fehlalarme stehen.

Zitat:

C:\Dokumente und Einstellungen\Manfred\Eigene Dateien\download\Tools\password.exe

Ist dir dieses Programm bekannt? Werte es vorsichtshalber bei Virustotal aus.

Zitat:

C:\RECYCLER\S-1-5-21-1754171096-4066916903-1634938514-1006\Dc762.exe

Den Papierkorb solltest du vllt auch mal leeren. Oder nimm gleich das Programm CCleaner, damit kannst du eine ganze Reihe von unnötigen Dateien löschen lassen.

Wirklich schlimme Einträge konnte ich dem eScan-Log nicht entnehmen. Sind die Werbeeinblendungen denn immer noch da?
Surfst du standardmäßig mit dem Internet Explorer oder z.B. mit Firefox oder Opera?

Hallo Arne,
z.Z. keine Werbeeinblendungen mehr- seit heute morgen. Standardmäßig Opera, selten IE. Werde mich von den verdächtigen Sachen trennen, nochmals herzlichen Dank für Eure Hilfe, wenn ich nicht klarkomme, melde ich mich noch mal.
Gruß Manfred

Zitat:

Zitat von jäger

Hallo Arne,
z.Z. keine Werbeeinblendungen mehr- seit heute morgen. Standardmäßig Opera, selten IE. Werde mich von den verdächtigen Sachen trennen, nochmals herzlichen Dank für Eure Hilfe, wenn ich nicht klarkomme, melde ich mich noch mal.
Gruß Manfred

Oh das ist doch ne gute Nachricht - den IE würd ich ganz weglassen, naja fast. Fürs Windows- und Officeupdate solltest du den nur benutzen, für alles andere Firefox oder Opera.
Ich bevorzuge Firefox, da man den mit Erweiterungen ausstatten kann, z.B. Noscript. Dadurch wird dann nur auf erlaubten Seiten Java(script) ausgeführt. Gibt mehr Sicherheit und weniger Werbung