Habe gestern abend Zonealarm (mit den Trial-Zusätzen) installiert und heute anscheinend einen Trojaner mit Spywarewarnung bekommen. Bisher hatte ich keine Probleme. (Kann natürlich Zufall sein. Durch die neue Software war ich Deppin aber leider weniger aufmerksam und bin in die Falle getappt):
Fenster "Windows Security Alert" erscheint mit: "Internet attack attept detected usw." Nach dem Schliessen des fensters kommen dann noch andere. Ich habe irgendwann auf download, install oder sowas ähnliches klicken müssen, weil sonst nix mehr ging.

Nun habe ich mit HijackThis schon mehrmals folgenden Eintrag gefixt:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2, aber er ist nach Neustart wieder da.

Bitte helft mir doch, und bedenkt, auch, wenn ich HijackThis habe, bin ich ansonsten doch eine ziemliche Newbie, was Viren/Trojaner angeht.


Hier meiin HijackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 18:17:54, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\duocore.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für Eure Hilfe!
Liebe Grüße, Lea

P.S. Um euch nicht zu sehr mit Arbeit zu erschlagen, habe ich erst nach ähnlichen Beiträgen gesucht ("softwarereferral"), aber alle zwölf, die ich fand wurden nicht beantwortet :-( Allerdings sind sie auch ziemlich neu.

Halli hallo Lea.

Zitat:

Ich habe irgendwann auf download, install oder sowas ähnliches klicken müssen, weil sonst nix mehr ging.

das war der größte Fehler den du hättest machen können!! Kann gut sein, dass deine Kiste ist nicht mehr zu retten ist.

Lasse mal bitte folgende Dateien auf VT auswerten und poste das Ergebnis:

" C:\WINDOWS\duocore.dll "

" C:\WINDOWS\wmpenv.dll "

Gruß

Undoreal

liebe(r) undoreal,

danke, dass du dich um mich kümmerst und sorry dass es so lange dauerte bei mir, aber hier gehen ständig verschiedene fenster auf und ich muss sie dann im Taskmanager schliessen

die erste datei gibt es bei mir nicht im windows (XP), kann das sein? Im moment kann ich leider nicht mal mehr im ordner runterscrollen weil der pc nicht reagiert :-(

die zweite hab ich eingegeben und das ist das ergebnis:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 -
Authentium 4.93.8 2007.08.25 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.25 Clicker.IEM
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.25 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.25 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.25 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.25 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 Trojan-Downloader.Win32.Agent.bjc
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 AdClicker-FC
Microsoft 1.2803 2007.08.25 Trojan:Win32/Agent.gen!L
NOD32v2 2484 2007.08.25 Win32/Adware.Agent.NAV
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.25 Adware/VideoPlugin
Prevx1 V2 2007.08.25 Trojan.SystemPoser
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.25 -
weitere Informationen
File size: 241664 bytes
MD5: 5d6395586a30ef8129586478241e6925
SHA1: d79151fdc7c717925715614eeb557c83a3577571
Prevx info: WMPENV.DLL - Prevx


nachtrag: die duocore.dll datei gibt es tatsächlich nicht in meinem windows-ordner

Lieber ist O.K.

Zitat:

sorry dass es so lange dauerte bei mir,

das macht doch nichts! Außerdem hat es doch garnicht lange gedauert...

Zitat:

die duocore.dll datei gibt es tatsächlich nicht in meinem windows-ordne

das kann eigentlich nicht sein. Versuche es bitte noch einmal und diesmal so wie es in dem Link meiner Signatur " Suchen und Finden von Dateien" beschrieben steht...

lg

Undoreal

lieber undoreal,

vorhin hatte ich zwar tatsächlich nur versteckte dateien anzeigen lassen (du kennst deine pappenheimer, was?) und nicht auch die geschützten systemdateien, aber selbst, wenn ich die auch aktiviere, gibt es in meinem windows-ordner immer noch keine duocore.dll.

ich hatte heute mittag noch cccleaner drüberlaufen lassen und alles gelöscht, was das programm vorgeschlagen hatte, evtl auch bei HijackThis noch was anderes mir unbekanntes gefixt ausser dem bereits geposteten eintrag. könnte das daran liegen? ich könnte ja mal wieder neustart machen, aber der hat die letzten male schon gefährlich gemuckt: jedes zweite mal nur uniblauer bildschirm ohne jegliche leisten buchstaben icons oder fenster.

(apropos: sollte ich die systemwiederherstellung abschalten oder nicht?)

schöne grüsse
lea

Zitat:

sollte ich die systemwiederherstellung abschalten oder nicht?

jup! kannst du ruhig schon machen.. ich nehme mal an, dass du schon versucht hast dein System zu einem früheren Zeitpunkt wiederherzustellen..

Zitat:

immer noch keine duocore.dll.

lasse HJt bitte noch einmal laufen und gucke nach ob dieser Eintrag noch auftaucht bzw. poste einfach das Logfile wie beim letzten mal.. (Das alte log solltest du vorher umbenennen)

Gruß

Undoreal

Blacklight:

08/26/07 00:38:57 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 00:38:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 00:39:02 [Note]: 7019 4
08/26/07 00:39:02 [Note]: 7005 0
08/26/07 00:39:13 [Note]: 7006 0
08/26/07 00:39:13 [Note]: 7011 420
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:38 [Note]: FSRAW library version 1.7.1022
08/26/07 00:45:35 [Error]: 6019 0
08/26/07 00:45:35 [Error]: 6017 0
08/26/07 00:46:44 [Note]: 7007 0


Silent Runners:
eingefroren


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:03:23, on 26.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


zweiter Blacklight (der erste ging verdächtig schnell):

08/26/07 01:32:49 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 01:32:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 01:32:49 [Note]: 7019 4
08/26/07 01:32:49 [Note]: 7005 0
08/26/07 01:33:17 [Note]: 7006 0
08/26/07 01:33:17 [Note]: 7011 3568
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:27 [Note]: FSRAW library version 1.7.1022
08/26/07 01:53:25 [Note]: 7007 0



Silent Runners:

"Silent Runners.vbs", revision 52, h**p://ww.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [file not found]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{927EAB1E-B568-4E78-B8E9-36CFC439FE3B}" = "PdfGrabber Context Menu Shell Extension"
-> {HKLM...CLSID} = "PdfGrabber Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\PdfGrabber 3.0\PdfGrabberShellExt.dll" [null data]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [file not found]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}
"DisableTaskMgr" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Active Desktop web content (hidden if disabled):
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""
Enabled Scheduled Tasks:
------------------------
"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers:
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
Extensions (Tools menu items, main toolbar menu buttons):
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B13B4423-2647-4CFC-A4B3-C7D56CB83487}\
"ButtonText" = "Share in Hello"
"MenuText" = "Share in H&ello"
"CLSIDExtension" = "{B13B4423-2647-4cfc-A4B3-C7D56CB83487}"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points:
------------------------------
HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]
Redirected Port\Driver = "redmonnt.dll" [null data]
---------- (launch time: 2007-08-26 01:24:35)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 254 seconds, including 17 seconds for message boxes)


SmitFraudFix 1: Scan

SmitFraudFix v2.216
Scan done at 1:17:04,19, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\privacy_danger FOUND !
C:\WINDOWS\wmpconf.dll FOUND !
C:\WINDOWS\wmpenv.dll FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Lea\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\VideoAccessCodec\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.142
DNS Server Search Order: 217.237.150.205
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

SmitFraudFix 2: Killing im abgesicherten Modus

SmitFraudFix v2.216
Scan done at 2:10:59,98, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\main_uninstaller.exe Deleted
C:\WINDOWS\privacy_danger\ Deleted
C:\WINDOWS\wmpconf.dll Deleted
C:\WINDOWS\wmpenv.dll Deleted
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url Deleted
C:\Programme\VideoAccessCodec\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End


ComboFix

ComboFix 07-08-25.2 - "Lea" 2007-08-26 2:25:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.85 [GMT 2:00]
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\DOKUME~1\Gast\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\FAVORI~1\Error Cleaner.url
C:\DOKUME~1\Lea\FAVORI~1\Privacy Protector.url
C:\DOKUME~1\Lea\FAVORI~1\Spyware&Malware Protection.url
c:\RECYCLER\desktopA.sys
C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 01:39 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-26 01:17 1,544 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-26 01:16 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-26 01:16 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-26 01:16 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-25 12:01 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\MailFrontier
2007-08-24 23:51 <DIR> d-------- C:\Programme\DVD2SVCD
2007-08-24 23:11 <DIR> d-------- C:\Programme\Super_DVD_Creator_9.5
2007-08-23 22:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
2007-08-23 22:21 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-23 22:19 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-08-23 22:19 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-08-23 22:19 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-08-23 22:19 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-08-23 22:18 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-08-23 22:18 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-23 22:17 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-08-23 22:17 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-08-23 22:17 399,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-08-23 22:14 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-08-23 22:13 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-23 22:13 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-23 22:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-08-22 00:39 <DIR> d-------- C:\Programme\DVD Shrink DE
2007-08-22 00:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-21 17:03 <DIR> d-------- C:\Programme\Pegasys Inc
2007-08-21 17:03 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Pegasys Inc
2007-08-21 15:12 <DIR> d-------- C:\Programme\Simple Sudoku
2007-08-21 15:12 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Simple Sudoku
2007-08-19 20:28 <DIR> d-------- C:\Programme\DVDx
2007-08-19 18:58 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-08-19 18:57 <DIR> d-------- C:\Programme\Avi2Dvd
2007-08-19 12:06 <DIR> d-------- C:\divx
2007-08-19 11:22 <DIR> d-------- C:\Programme\AC3Filter
2007-08-18 19:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BCL Technologies
2007-08-18 15:06 <DIR> d-------- C:\Programme\BSW
2007-08-18 14:23 <DIR> d-------- C:\Programme\BrettspielWelt
2007-08-18 10:49 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-17 21:25 <DIR> d-------- C:\Programme\TGeb
2007-08-14 08:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2007-08-14 08:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\ACD Systems
2007-08-14 07:17 <DIR> d--hs---- C:\WINDOWS\CSC
2007-08-13 18:19 <DIR> d-------- C:\Programme\Opera
2007-08-13 18:18 <DIR> d-------- C:\Programme\AutoUpdate
2007-08-13 18:18 <DIR> d-------- C:\Programme\Artwork
2007-08-13 05:40 <DIR> d-------- C:\Programme\AVS4YOU
2007-08-13 05:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-08-13 00:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-13 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-13 00:12 476,314 --a------ C:\Programme\bandit_15.exe
2007-08-13 00:12 175,616 --a------ C:\Programme\soegel32.dll
2007-08-13 00:12 1,300,992 --a------ C:\Programme\soegel15.dll
2007-08-12 23:53 <DIR> d-------- C:\Programme\Emailprogramme
2007-08-12 23:28 <DIR> d-------- C:\Programme\MSSoap
2007-08-12 23:27 <DIR> d-------- C:\Programme\SpeechEngines
2007-08-12 23:26 <DIR> d-------- C:\Programme\System
2007-08-12 23:24 <DIR> d-------- C:\Programme\Textprogramme
2007-08-12 23:20 <DIR> d-------- C:\Programme\Uebriges
2007-08-12 23:19 <DIR> d-------- C:\Programme\Systemprogramme
2007-08-12 23:11 <DIR> d-------- C:\Programme\Bildbearbeitung
2007-08-12 23:09 <DIR> d-------- C:\Programme\Viren etc
2007-08-12 23:08 <DIR> d-------- C:\Programme\Audioprogramme
2007-08-12 22:58 <DIR> d-------- C:\Programme\DVD Programme
2007-08-12 17:55 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Media Player Classic
2007-08-12 00:52 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-08-12 00:52 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-08-12 00:51 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-08-12 00:51 5,600 --a------ C:\WINDOWS\system\winaspi.dll
2007-08-12 00:51 48,128 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-08-12 00:51 4,672 --a------ C:\WINDOWS\system\wowpost.exe
2007-08-12 00:51 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-08-12 00:51 23,936 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2007-08-12 00:51 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-08-12 00:51 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-08-12 00:51 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-08-11 22:50 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2007-08-11 19:00 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\AVS4YOU
2007-08-11 15:43 31,067,084 --a------ C:\mvinfo.bin
2007-08-07 13:51 <DIR> d-------- C:\8881_PMPVLC009binaries
2007-08-07 01:18 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-08-07 01:07 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\DivX
2007-08-07 01:04 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-08-07 01:04 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-08-07 01:04 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-08-06 19:38 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-08-06 19:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-08-06 19:02 <DIR> d-------- C:\RegBackups
2007-08-06 18:44 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-06 14:45 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\TuneUp Software
2007-08-06 14:05 17,024 --a------ C:\WINDOWS\system32\drivers\usbohci.sys
2007-08-06 00:24 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\dvdcss
2007-08-05 23:54 <DIR> d-------- C:\EasyDivX
2007-08-05 22:20 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-05 22:20 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-08-05 22:20 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-08-05 22:20 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-25 18:24 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Prevx
2007-08-25 18:04 5036 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-23 22:47 --------- d-------- C:\Programme\fotopost24 photobook
2007-08-23 22:47 --------- d-------- C:\Programme\Dienste
2007-08-23 22:47 --------- d-------- C:\Programme\CUEcards
2007-08-23 22:47 --------- d-------- C:\Programme\ActiveVocabLight
2007-08-19 17:39 --------- d-------- C:\Programme\Ulead Systems
2007-08-18 19:40 --------- d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:56 --------- d-------- C:\Programme\ACD Systems
2007-08-13 00:26 --------- d-------- C:\Programme\FoneSync
2007-08-13 00:15 17 --a------ C:\Programme\stng260.opt
2007-08-13 00:05 818176 ---h----- C:\WINDOWS\system32\wodfamoh.dll
2007-08-12 00:52 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 10:08 --------- d-------- C:\Programme\CCleaner
2007-08-06 03:41 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-08-02 13:49 --------- d-------- C:\Programme\Microsoft Works
2007-08-02 11:17 --------- d-------- C:\Programme\Symantec Shared
2007-08-02 11:11 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-07-31 19:45 149 --a------ C:\Programme\Adobe FEAD_error.log
2007-07-31 17:49 --------- d-------- C:\Programme\ConTEXT
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 13:35 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Prevx
2007-07-29 18:31 --------- d-------- C:\Programme\PDFCreator
2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-07-17 19:21 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\SecondLife
2007-07-16 07:29 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Anvil Studio
2007-07-16 06:53 --------- d-------- C:\Programme\Anvil Studio
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-12 16:19 119146 --a------ C:\Programme\gzip-1.2.4.msdos.exe
2006-03-08 11:41 510696 --a--c--- C:\Programme\GenuineCheck.exe
2005-10-16 20:22 1114806 --a--c--- C:\Programme\Printscreen.exe
2005-05-28 07:33 5568952 --a--c--- C:\Programme\MDAC_TYP nicht kompatibel.EXE
2005-04-26 21:34 2717762 --a--c--- C:\Programme\04_04_tubes.exe
2004-08-17 19:20 2031176 --a------ C:\DOKUME~1\DEFAUL~1\Flash_Video_Exporter.exe
2004-06-27 03:00 79397 --a------ C:\WINDOWS\Fonts.\unins000.exe
2000-02-17 12:25 45 --a------ C:\Programme\bandit.ini
1993-08-19 09:53 39910 --a--c--- C:\Programme\GZIP.EXE
1993-08-19 09:52 121868 --a--c--- C:\Programme\GZIP386.EXE
2001-08-18 19:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 07:57:36 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 07:57:23 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2004-08-04 07:57:28 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-04 07:57:28 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2004-08-04 07:57:28 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2007-05-17 11:28:50 549,376 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-04 07:57:32 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-04 07:58:09 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" []
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" []
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_erinnerung_18_demo.lnk
backup=C:\WINDOWS\pss\p6_erinnerung_18_demo.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PrintScreen starten.lnk
backup=C:\WINDOWS\pss\PrintScreen starten.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Lea^Startmenü^Programme^Autostart^Froggy.lnk]
path=C:\Dokumente und Einstellungen\Lea\Startmenü\Programme\Autostart\Froggy.lnk
backup=C:\WINDOWS\pss\Froggy.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CXMon]
"C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
DevDetect.exe -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
C:\Programme\Gemeinsame Dateien\AOL\1160239680\ee\AOLSoftware.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PicasaNet]
"C:\Programme\Hello\Hello.exe" -b
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxOne]
"C:\Programme\Prevx1\PXConsole.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBCSTray]
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent]
C:\Programme\webHancer\Programs\whagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"SNDSrvc"=3 (0x3)
"PREVXAgent"=2 (0x2)
"NVSvc"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"brmfrmps"=2 (0x2)
"AVG Anti-Spyware Guard"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Microsoft Works Portfolio"=C:\Programme\Microsoft Works\WksSb.exe /AllUsers
"Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
R0 PrevxDriver;PREVX Kernel Mode Agent;C:\WINDOWS\system32\drivers\pxfsf.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 PrevxTdi;PREVX TDI filter;C:\WINDOWS\system32\drivers\pxtdi.sys
R1 PXRDDriver;PREVX Rootkitscan driver;C:\WINDOWS\system32\DRIVERS\pxrd.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys
R3 ham;Creatix V.90 HaM;C:\WINDOWS\system32\Drivers\ham.sys
S1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\C:\DOKUME~1\Lea\LOKALE~1\Temp\Rar$EX01.650\kerneld.wnt
S3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys
S3 PrevxEmulator;PREVX Emulator driver;C:\WINDOWS\system32\drivers\pxemu.sys
S3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-24 15:15:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job
2007-08-21 14:00:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://ww.gmer.net
Rootkit scan 2007-08-26 02:46:09
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-26 2:49:28
C:\ComboFix-quarantined-files.txt ... 2007-08-26 02:49
--- E O F ---

So. ENDLICH FERTIG!

Da ich nur selten ins Internet komme, seit diese Sch***Zonealarm installiert ist und man sie angeblich nicht einfach deinstallieren kann und da der Desktop auch nicht zu gebrauchen ist werde ich nun wohl doch alles plattmachen müssen. Schade um das schöne Wochenende.



HijackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 15:20:15, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Prevx2\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\CCleaner\ccleaner.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




iclean log 27.08.2007 15:26:03

Windows XP SP2, Using advanced Kernel functions

Processes
---------
752 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
808 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
832 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
876 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
888 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1048 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1100 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1180 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1260 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1328 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1340 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1596 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1644 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1812 - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service
1824 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1880 - C:\Programme\Prevx2\PXAgent.exe - Prevx Agent (Signed)
2044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
292 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
312 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2824 - C:\WINDOWS\Explorer.EXE - Windows Explorer
3048 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
3108 - C:\Programme\SPYWAREfighter\spftray.exe - Spywarefighter Tray (Signed)
3120 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
3144 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
3228 - C:\Programme\SPYWAREfighter\spfprc.exe - SpywareFighter (Signed)
3988 - C:\Programme\CCleaner\ccleaner.exe - C:\Programme\CCleaner\ccleaner.exe
3072 - C:\PROGRA~1\MOZILL~1\FIREFOX.EXE - Firefox (Signed)
212 - C:\Dokumente und Einstellungen\Lea\Eigene Dateien\Downloads\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\lavasoft\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
c:\programme\prevx2\pxagent.exe=PREVXAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
c:\programme\spywarefighter\spfprc.exe=SPYWAREfighterRP
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: !AVG Anti-Spyware="c:\programme\grisoft\avg anti-spyware 7.5\avgas.exe" /minimized
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: spywarefighterguard=c:\programme\spywarefighter\spftray.exe
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\programme\spybot - search & destroy\sdhelper.dll ()
030=BHO: {55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=c:\dokumente und einstellungen\all users\anwendungsdaten\prevx\pxbho.dll (URLDetector Class)
031=Toolbar: {00000000-0002-0002-0000-000000000000}=(null)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null)
032=RestrictedZOne: *.00hq.com
(noch ca. 1000 weitere derartige Adressen)

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Hey Lea.

Zitat:

SPYWAREfighter

wie kommt der denn nun auf deinen Rechner?

Da ist aber 'ne ganze Menge Murks am Start. Willst du Neuaufsetzten?

Anleitung ist in meiner Signatrur verlinkt..

Hi Sunny

lg

Undoreal

Zitat:

Zitat von undoreal

Hey Lea.

wie kommt der denn nun auf deinen Rechner?

Da ist aber 'ne ganze Menge Murks am Start. Willst du Neuaufsetzten?

Anleitung ist in meiner Signatrur verlinkt..

Hi Sunny

lg

Undoreal

An undoreal:

Ich habe nun drei Tage lang unter äusserst erschwerten Umständen (alles lief wahnsinnig langsam, z.b. Ad-Aware stürzte FÜNFMAL nach jeweils knapp 4 Stunden ab) deine tausende von Programmen downgeloadet und abgearbeitet und die einzige info, die ich daraufhin von dir bekomme ist dass MURKS auf meinen Rechner ist? Ich bin seit tagen völlig fertig mit den Nerven und ich finde Dich errlich gesagt absolut nicht OK !!!



PS

was ist aufsetzen?

Formatieren? ich hab den Rechner fertig bei Aldi gekauft und weiss gar nicht genau wie das geht. Verliere ich dann alle meine Daten?

Spywarefigher wurde mir auf einer Seite als Link angeboten und ich hab den runtergeladen weil Samstag Nacht weder AD Aware noch Spybot funktionierten. Hab natürlich erst gegoogelt ob der ok ist. und das ist er. ODER ?????????? War das falsch oder was meintest du mit deiner Frage ?

Hallo Lea

Ok, dann wollen wir mal nachsehen was gelöscht wurde und was nicht!



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2 Bereinigung!)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

folder to delete:
C:\Programme\VideoAccessCodec
C:\WINDOWS\privacy_danger

files to delete:
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\wmpconf.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\system32\tmp.reg

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


Gruß
Sunny

Liebe Sunny,

danke, dass du meine Bitte erhört hast!

das mit dem Zitieren krieg ich nicht hin, deshalb schreib ich es so:

Zitat Sunny:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2 Bereinigung!)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans






Das Tool musste ich ja schon auf UNDOREALS Geheiss downloaden und durchführen, aber diesmal - im Normal-Modus, hat es ruckizucki meinen Desktop repariert!!!!

Danke danke danke danke !! Wenn ich das doch nur vorher gewusst hätte, dann wären die letzten beiden Tage einfacher für mich gewesen!


SmitFraudFix v2.216

Scan done at 19:17:09,12, 27.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Eigene Dateien\Virenbek„mpfung August 07\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mbicjwik

*******************

Script file located at: \??\C:\eeojgbje.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\DOKUME~1\Lea\Desktop\Error Cleaner.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Error Cleaner.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url
Status: 0xc000003a



Could not open file C:\DOKUME~1\Lea\Desktop\Privacy Protector.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Privacy Protector.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url
Status: 0xc000003a



Could not open file C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url
Status: 0xc000003a



File C:\WINDOWS\main_uninstaller.exe not found!
Deletion of file C:\WINDOWS\main_uninstaller.exe failed!

Could not process line:
C:\WINDOWS\main_uninstaller.exe
Status: 0xc0000034



File C:\WINDOWS\wmpconf.dll not found!
Deletion of file C:\WINDOWS\wmpconf.dll failed!

Could not process line:
C:\WINDOWS\wmpconf.dll
Status: 0xc0000034



File C:\WINDOWS\wmpenv.dll not found!
Deletion of file C:\WINDOWS\wmpenv.dll failed!

Could not process line:
C:\WINDOWS\wmpenv.dll
Status: 0xc0000034

File C:\WINDOWS\system32\tmp.reg deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Hier kam dann sone Meldung von den Spybot-Programm, dass eine Registrierungsänderung verboten worden wäre





Zitat Sunny:

5.) Lass eScan nochmal laufen






eScan kenn ich nicht, wo gibts das? und wieso nochmal ? Hab das nie gemacht im Gegensatz zu Smidfraudfix :-(



vielen Dank erstmal bishierher,

Liebe Grüsse, Lea

Liebe Sunny,

huch?

Ich hatte deine Liste doch noch gar nicht fertig abgearbeitet?
Ich musste doch nur erst klarstellen, dass ich das das escan noch nie gemacht hatte und es auch gar nicht kenne!
Hast die Anleitung für mich wohl aus einem Uralt-Beitrag rauskopiert, was ? *gg*



Aber das heisst doch nun nicht, dass ich auch das andere weglassen soll oder? Ich meine dieses Filelist-Programm, was ich mir downloaden sollte?

Hier poste ich dann mal den gewünschten Log davon, und zwar bevor ich mit Antivir scanne, weil das dauert sicher wieder die ganze Nacht durch.

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B

Verzeichnis von C:\

27.08.2007 19:28 8.980 OldSDB_log.txt
27.08.2007 19:27 402.231.296 hiberfil.sys
27.08.2007 19:27 603.979.776 pagefile.sys
27.08.2007 19:27 3.638 avenger.txt
27.08.2007 19:19 1.391 rapport.txt
27.08.2007 07:17 1.276 rollback.ini
26.08.2007 02:49 20.770 ComboFix.txt
26.08.2007 02:49 2.474 ComboFix-quarantined-files.txt
25.08.2007 18:08 212 boot.ini
23.08.2007 23:06 16 UsageTrack.txt
23.08.2007 01:15 13.944 TMPGEnc__2_7_VGA.mpg
12.08.2007 01:19 494 Easydivx_codec.txt
12.08.2007 01:19 2 Easydivx_length.txt
12.08.2007 01:19 2 Easydivx_sub.txt
12.08.2007 01:19 2 Easydivx_video.txt
12.08.2007 01:02 5.616 CLDMA.LOG
11.08.2007 18:29 31.067.084 mvinfo.bin
05.08.2007 11:14 86 SBCSTray.log


----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B

Verzeichnis von C:\WINDOWS\system32

27.08.2007 19:29 58.727 vsconfig.xml
27.08.2007 19:17 0 tmp.txt
27.08.2007 14:52 4.212 zllictbl.dat
25.08.2007 11:58 2.206 wpa.dbl
13.08.2007 00:05 818.176 wodfamoh.dll
12.08.2007 00:52 16.832 amcompat.tlb
12.08.2007 00:52 23.392 nscompat.tlb
12.08.2007 00:51 2.272 w95inf16.dll
12.08.2007 00:51 4.608 w95inf32.dll
11.08.2007 18:49 321.928 FNTCACHE.DAT
06.08.2007 19:38 552 d3d8caps.dat
06.08.2007 19:09 40.128 perfc009.dat
06.08.2007 19:09 311.740 perfh009.dat
06.08.2007 19:09 316.924 perfh007.dat
06.08.2007 19:09 48.354 perfc007.dat
06.08.2007 19:09 722.222 PerfStringBackup.INI
06.08.2007 15:57 0 SBFC.dat
06.08.2007 15:57 0 SBRC.dat
05.08.2007 18:37 664 d3d9caps.dat
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
30.07.2007 17:18 2.916.352 SET1B9.tmp
27.07.2007 01:06 518.904 pxdrv.dll
27.07.2007 01:06 120.056 pxcpyi64.exe
27.07.2007 01:06 72.440 pxhpinst.exe
27.07.2007 01:06 66.296 pxcpya64.exe
27.07.2007 01:06 64.760 pxinsa64.exe
27.07.2007 01:06 129.784 pxafs.dll
27.07.2007 01:06 187.128 pxmas.dll
27.07.2007 01:06 118.520 pxinsi64.exe
27.07.2007 01:06 88.824 vxblock.dll
27.07.2007 01:06 551.672 px.dll
27.07.2007 01:06 1.628.920 pxsfs.dll
27.07.2007 01:06 379.640 pxwave.dll
27.07.2007 01:03 352.401 DivXMedia.ax



Bitte lies dir das noch durch, ja? Ansonsten scanne ich nochmal über nacht und melde mich morgen dann noch mal.



Und Vielen Vielen Dank für die Riesenhilfe!

Ich hab kein Geld, würde mich aber gerne irgendwie revanchieren, evtl gibts ja Recherchen oder Zusammenstellungen oder sonstwas, was ich am PC tun könnte, kannst ja mal drüber nachdenken.


Liebe Grüße

Lea

Zitat:

Zitat von Lea

Hier poste ich dann mal den gewünschten Log davon, und zwar bevor ich mit Antivir scanne, weil das dauert sicher wieder die ganze Nacht durch.

Dann würde ich sagen, lass den Rechner über Nacht laufen und schlaf mal wieder in Ruhe aus ... ich sehe mir in der Zeit die Filelist an, und morgen geht es dann weiter ...