Hallo!

Seit einiger Zeit hängt sich mein Computer andauernd auf. Wenn ich mich mit Wireless ins Internet einwähle, passiert das alle 2-3 Minuten, über eine Kabelverbindung habe ich etwas mehr Zeit. Ganz schlimm ist es geworden, seitdem ich D-Link installiert habe.

In meiner Software befinden sich folgende 3 Programme, die ich nicht deinstallieren kann:
ANIO Service
ANIWZCS2 und
ATI-Treiber (mein Graphikkartentreiber)
Ich bin mir ziemlich sicher, dass diese drei der Auslöser für mein Problem sind, da ich auch extrem große Schwierigkeiten mit meiner Graphikkarte habe.

Firefox und Quicktime habe ich mittlerweile deinstalliert, ich glaube, sie waren auch beteiligt...

Ich habe meinen Computer mit dem Security Task Manager, mit Adaware von Lavasoft und mit Tune Up Utilities untersucht (im abgesicherten Modus), und mit Spywaredoctor im normalen Modus. Dabei wurde nichts schlimmes gefunden.

Ach so, mein Betriebssystem ist Windows XP, meine Graphikkarte eine ATI Radeon Mobility 9100 IGP.


Hijack sagt folgendes:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:56, on 18.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads - Programme\HiJackThis202.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 4691 bytes





Wer kann mir helfen????????
Ach so, ich kenne mich nicht wirklich aus, also bitte ganz einfache Erklärungen... Ich weiß zum Beispiel nicht, wie ich in die Registry oder so was ähnliches komme, oder wie ich .exe Dateien in bestimmte Verzeichnisse entpacke...
DANKE!!!!

Hi,

ich kann nichts in deinem Log entdecken.
Um die oben erwähnte Software zu deinstallieren,
gehe in den abgesicherten Modus und versuche es
von dort aus: (Beim Hochfahren F8 drücken -> abgesicherter Modus)

Weiterhin . . .

* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* F-Secure Blacklight – Rootkitscanner:
- hier runterladen F-Secure Blacklight
- mit F-Secure dein System nach Rootkits scannen lassen
- Poste im Anschluss das Ergebnis des Reportes
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker

Dankeschön!!!
Im abgesicherten Modus hab ich das Deinstallieren schon versucht. Das hat aber leider nicht geklappt.
Ich hab den escan laufen lassen und er hat folgendes ergebnis festegestellt:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/18/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp1\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp2\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp3\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp4\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp1\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp2\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp3\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp4\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Recycled\Dc547.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Recycled\Dc549.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:44:52,29
Batchende: 15:45:04,14
Virus-Datenbank Datum: 9/18/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp1\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp2\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp3\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\~RomDmp4\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp1\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp2\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp3\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Temp\~RomDmp4\RomDump.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Recycled\Dc547.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Recycled\Dc549.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\installers_ci_sd_en_5.0.5.259_setup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\FOUND.018\FILE0001.CHK nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 64283
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 17
Dauer des Scans bisher: 00:50:26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:44:52,31
Batchende: 15:45:08,21


Hilft das weiter??? Wenn ich das doch nur auch verstehen würde...

Das secure blacklight mach ich als nächstes...

Danke auf jeden Fall!!

So, jetzt hab ich auch den Blacklight scan gemacht, und der sagt 0 hidden items found. Brauche ich da genauere Angaben? Und wo finde ich die?

Hi,

FSecure hat also nichts gefunden...

In deinem escan kann ich aber außer ein paar
Fehlerprotokollen nichts weiter sehen.

Führe folgendes Tool aus

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

und anschließend würden mich folgendes Scans interessieren:

* Silentrunners Logfile
- Lade dir das Tool -> Silentrunners
- Entpacke das Script in einen Ordner deiner Wahl
- Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
- System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
- Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

mfg Cleriker

Mach ich alles!

Falls das wichtig ist... Seitdem ich heute Firefox und den Quickplayer deinstalliert habe, und wieder mit dem Internetexplorer ins Netz gehe, stürzt mein Computer nicht mehr ab. Die drei Programme kann ich trotzdem noch nicht löschen, und wireless ins Internet zu gehen, hab ich seither nicht mehr probiert...
Achso, und mit msconfig unterdrücke ich gerade auch etliche Programme, vielleicht sind die sehenswert? Dann könnt ich sie mal kopieren.

Danke nochmal für die Mühe!

09/18/07 16:07:07 [Info]: BlackLight Engine 1.0.64 initialized
09/18/07 16:07:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/18/07 16:07:07 [Note]: 7019 4
09/18/07 16:07:07 [Note]: 7005 0
09/18/07 16:07:21 [Note]: 7006 0
09/18/07 16:07:21 [Note]: 7011 1252
09/18/07 16:07:21 [Note]: 7026 0
09/18/07 16:07:21 [Note]: 7026 0
09/18/07 16:07:27 [Note]: FSRAW library version 1.7.1022
09/18/07 16:08:04 [Note]: 7007 0

Das ist die konkrete Antwort von Blacklight.

Beim CCleaner hab ich einfach alle Kreuze, die schon eingegeben waren, gelassen, ic dachte, das kann nichts schaden und hab dann alles gelöscht.


Beim Silentrunner war ich nict ganz sicher, ob ich "ja" oder "nein" drücken muss, ich glaub "nein war richtig. Auf jeden Fall hab ich beides gemacht, hier die beiden Antworten:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"AAWTray" = "C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [null data]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


DESKTOP.INI DLL launch in local fixed drive directories:
--------------------------------------------------------

WARNING! J: is an unreadable partition!


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]
"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 29
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-09-19 00:15:18)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 92 seconds.
---------- (total run time: 228 seconds)


und das andere ist:


"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"AAWTray" = "C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [null data]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Princesse\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]
"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 29
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-09-19 00:12:12)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 133 seconds, including 16 seconds for message boxes)



Hoffentlich ist das jetzt nicht zwei Mal dasselbe...

Ich kanns wirklich nicht glauben, dass es jemanden auf dieser Welt gibt, der sich das alles durchliest und dazu noch versteht, was das zu bedeuten hat...
Vielen vielen Dank kann ich nur sagen.



----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\

19.09.2007 00:31 43 filelist.txt
18.09.2007 19:26 460.324.864 pagefile.sys
18.09.2007 15:40 0 23990098.$$$
18.09.2007 01:45 233 boot.ini



----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS

18.09.2007 19:26 2.048 bootstat.dat
18.09.2007 19:15 32.630 SchedLgU.Txt
18.09.2007 19:15 12 bthservsdp.dat
18.09.2007 16:15 1.127.837 WindowsUpdate.log
18.09.2007 14:49 50 Lic.xxx
18.09.2007 14:48 518 win.ini
18.09.2007 01:45 227 system.ini
18.09.2007 01:42 10 WININIT.INI
14.09.2007 14:30 116 NeroDigital.ini
06.09.2007 14:05 1.286 mozver.dat
02.09.2007 22:07 8.632 ModemLog_Creatix 2.0 AC'97 Modem.txt
02.09.2007 00:32 0 nsreg.dat
20.08.2007 11:15 169 RtlRack.ini

----- System ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS\system

gibts nichts nach 2004


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS\system32

18.09.2007 11:58 40.326 perfc009.dat
18.09.2007 11:58 311.938 perfh009.dat
18.09.2007 11:58 317.168 perfh007.dat
18.09.2007 11:58 48.552 perfc007.dat
18.09.2007 11:58 723.744 PerfStringBackup.INI
14.09.2007 11:54 185.688 rmoc3260.dll
14.09.2007 11:53 5.632 pndx5032.dll
14.09.2007 11:53 6.656 pndx5016.dll
14.09.2007 11:53 278.528 pncrt.dll
09.09.2007 22:35 2.206 wpa.dbl
08.09.2007 18:28 22 ati64hl2.stb
06.09.2007 14:03 5.214 jupdate-1.6.0_02-b06.log
06.09.2007 04:50 17.474.680 MRT.exe
02.09.2007 01:18 3.284 ANIWZCS{00E94F98-CBC8-45C5-B0CA-006F916E41ED}
02.09.2007 00:59 45 initdebug.nfo
29.08.2007 23:25 249.852 TZLog.log
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS\Prefetch

19.09.2007 00:31 14.818 CMD.EXE-087B4001.pf
19.09.2007 00:31 12.714 FIND.EXE-0EC32F1E.pf
19.09.2007 00:30 43.934 NOTEPAD.EXE-336351A9.pf
19.09.2007 00:29 17.074 EXPLORER.EXE-082F38A9.pf
19.09.2007 00:29 19.654 VERCLSID.EXE-3667BD89.pf
19.09.2007 00:15 30.194 WSCRIPT.EXE-32960AB9.pf
19.09.2007 00:13 19.614 TASKMGR.EXE-20256C55.pf
19.09.2007 00:12 42.476 WMIPRVSE.EXE-28F301A9.pf
19.09.2007 00:03 17.494 CCLEANER.EXE-065E2F3F.pf
19.09.2007 00:00 22.336 CCSETUP200.EXE-0EACDF15.pf
18.09.2007 23:51 77.634 IEXPLORE.EXE-2CA9778D.pf
18.09.2007 23:49 74.798 MSIMN.EXE-0B61806C.pf
18.09.2007 21:36 32.820 WORDPAD.EXE-1EFCC5C1.pf
18.09.2007 21:21 18.280 SKYPEPM.EXE-03F1BFBD.pf
18.09.2007 21:21 19.836 RUNDLL32.EXE-14611420.pf
18.09.2007 21:21 82.142 SKYPE.EXE-21F19BC8.pf
18.09.2007 21:15 26.648 GOOGLEUPDATER.EXE-36CE3796.pf
18.09.2007 19:52 387.834 Layout.ini
18.09.2007 19:48 9.564 LOGON.SCR-151EFAEA.pf
18.09.2007 19:37 72.958 ACRORD32INFO.EXE-19D979CC.pf
18.09.2007 19:30 44.546 MSMSGS.EXE-32066BA5.pf
18.09.2007 19:30 55.720 SDTRAYAPP.EXE-1A2007EF.pf
18.09.2007 19:29 50.180 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
18.09.2007 19:29 14.932 MSCONFIG.EXE-35E4DAE9.pf
18.09.2007 19:29 59.146 IMAPI.EXE-0BF740A4.pf
18.09.2007 19:29 70.536 AVGNT.EXE-36CA4640.pf
18.09.2007 19:28 20.992 WUAUCLT.EXE-399A8E72.pf
18.09.2007 19:28 40.590 ALG.EXE-0F138680.pf
18.09.2007 19:28 784.916 NTOSBOOT-B00DFAAD.pf
18.09.2007 19:19 12.248 WSCNTFY.EXE-1B24F5EB.pf
18.09.2007 19:13 20.308 LOGONUI.EXE-0AF22957.pf
18.09.2007 19:07 34.726 SYSTEMINFORMATION.EXE-355C1C8A.pf
18.09.2007 19:07 36.818 INTEGRATOR.EXE-1E855E9B.pf
18.09.2007 13:04 66.598 RUNDLL32.EXE-13404D23.pf
18.09.2007 11:46 56.226 UPDATE.EXE-13D57D76.pf
18.09.2007 11:46 15.238 PREUPD.EXE-358AA1C1.pf
18.09.2007 03:39 59.776 DUMPREP.EXE-1B46F901.pf
18.09.2007 03:37 42.830 WINHLP32.EXE-2C18E975.pf
18.09.2007 03:14 158.388 MSIEXEC.EXE-2F8A8CAE.pf
18.09.2007 01:52 98.584 FIREFOX.EXE-1D57670A.pf
18.09.2007 00:53 11.876 RUNDLL32.EXE-451FC2C0.pf
17.09.2007 22:32 57.660 ZCLIENTM.EXE-360CFDB5.pf
42 Datei(en) 2.855.656 Bytes
0 Verzeichnis(se), 9.213.018.112 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS\tasks

18.09.2007 19:26 6 SA.DAT
18.09.2007 03:15 404 1-Klick-Wartung.job
07.09.2007 15:00 400 Norton Security Scan.job
04.08.2004 14:00 65 desktop.ini
4 Datei(en) 875 Bytes
0 Verzeichnis(se), 9.213.001.728 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\WINDOWS\Temp

18.09.2007 03:47 16.384 Perflib_Perfdata_220.dat
18.09.2007 02:23 16.384 Perflib_Perfdata_b28.dat
14.09.2007 02:06 110 DFC5A2B2.TMP
13.09.2007 00:44 664 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
11.09.2007 13:21 114 D653F3EC.TMP




----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4636-12C9

Verzeichnis von C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp

18.09.2007 15:44 4.982.351 MWAV.LOG
18.09.2007 15:44 223.108 sfdb.dat
18.09.2007 15:39 965.856 MWAVC.LOG
18.09.2007 15:32 28.489 mwXface.log
18.09.2007 14:49 3.756 avp_x.set
18.09.2007 14:49 3.756 avp_ext.set
18.09.2007 14:49 1.371 Download.log
18.09.2007 14:49 483 EUpdate.ini
18.09.2007 14:49 3.756 avp.set
18.09.2007 14:49 91 IUpdate.ini
18.09.2007 14:49 0 success.sem
18.09.2007 14:49 248.454 spydb.old
18.09.2007 14:49 160.926 Spyware.sdb
18.09.2007 14:49 2.068.159 File1.sdb
18.09.2007 14:49 725.450 Dir.sdb
18.09.2007 14:49 1.267.280 Cid.sdb
18.09.2007 14:49 1.196.695 File2.sdb
18.09.2007 14:49 248.454 spydb.avs
18.09.2007 14:49 4.149 update.txt
18.09.2007 14:49 822 remove.ini
18.09.2007 14:49 227 httpsite.txt
18.09.2007 14:49 111 ftpsites.txt
18.09.2007 14:49 60.082 daily.avc
18.09.2007 14:49 2.265 dailyc.avc
18.09.2007 14:49 24.124 fa001.avc
18.09.2007 14:48 629 daily-ec.avc
18.09.2007 14:48 1.016 00184596.key
18.09.2007 14:48 5.727 filelist.lst
18.09.2007 14:48 1.047 00184597.key
18.09.2007 13:32 38.010 c0cc_appcompat.txt
18.09.2007 12:53 626.688 msvcr80.dll
18.09.2007 12:53 548.864 msvcp80.dll
18.09.2007 12:53 241.664 MYDB.DLL
18.09.2007 12:05 1.865 daily-ex.avc
18.09.2007 12:05 21.462 ext009.avc
18.09.2007 12:05 1.865 daily-ex.avx
18.09.2007 12:05 34.829 base152.avc
18.09.2007 12:05 9.189 ext005c.avc
18.09.2007 12:05 27.026 avp.klb
18.09.2007 12:05 145.006 base049c.avc
18.09.2007 12:05 2.089 unp039.avc
18.09.2007 12:05 34.266 fa.avc
18.09.2007 12:00 11.209 English.con
18.09.2007 04:01 238 INDEX.INI
18.09.2007 01:42 16.384 ~DFF6E2.tmp
18.09.2007 00:54 15.369 jusched.log
17.09.2007 20:37 16.384 ~DF68ED.tmp
17.09.2007 20:35 38.912 unregx.exe
17.09.2007 20:34 43.520 setpriv.exe
17.09.2007 20:27 167.936 esupdate.exe
17.09.2007 20:22 122.880 avpmhook.dll
17.09.2007 20:11 56.320 reload.exe
17.09.2007 19:19 1.949.696 msvl64.dll
17.09.2007 19:12 430.144 mwavscan.com
17.09.2007 19:12 430.144 mexe.com
17.09.2007 19:07 143.360 msvlclnt.dll
17.09.2007 18:59 44.608 Getvlist.exe
17.09.2007 18:53 48.406 base016.avc
17.09.2007 18:31 15.148 German.con
17.09.2007 18:31 15.148 config.lan
17.09.2007 14:33 500.224 Download.exe
17.09.2007 10:33 195.298 phupdn.txt
17.09.2007 10:19 57.725 phupdn.txz
17.09.2007 10:19 18.427 global.daz
17.09.2007 09:43 50.068 base151.avc
16.09.2007 18:55 4.101 Chinese.dow
16.09.2007 18:55 90.996 Chinese.Age
16.09.2007 18:55 110.439 Icelandic.Age
16.09.2007 18:55 5.202 Icelandic.dow
16.09.2007 18:55 115.349 Polish.Age
16.09.2007 18:55 5.471 Finnish.dow
16.09.2007 18:55 112.207 Finnish.Age
16.09.2007 18:55 6.103 Polish.dow
16.09.2007 18:52 5.981 French.dow
16.09.2007 18:52 116.504 French.Age
16.09.2007 18:52 5.633 Spanish.dow
16.09.2007 18:52 115.397 Spanish.Age
16.09.2007 18:52 116.118 Spanishl.Age
16.09.2007 18:52 5.535 Romanian.dow
16.09.2007 18:52 111.149 Romanian.Age
16.09.2007 18:52 6.000 Spanishl.dow
16.09.2007 18:51 5.924 Portuguese.dow
16.09.2007 18:51 124.130 Portuguese.Age
16.09.2007 18:51 122.760 Italian.Age
16.09.2007 18:51 5.557 Italian.dow
16.09.2007 18:51 125.547 German.Age
16.09.2007 18:51 5.688 Download.lan
16.09.2007 18:51 5.688 German.dow
16.09.2007 18:51 125.547 language.ini
16.09.2007 17:22 50.286 base006c.avc
16.09.2007 17:22 39.636 krn004.avc
16.09.2007 17:22 53.530 base144.avc
16.09.2007 17:22 50.244 base150.avc
16.09.2007 17:22 49.897 base037c.avc
16.09.2007 17:22 46.514 unp001.avc
16.09.2007 13:44 16.384 ~DFA7F6.tmp
16.09.2007 12:17 732 esupd.ini
14.09.2007 17:18 51.867 English.Age
14.09.2007 14:28 3.443.396 beginner.wma
14.09.2007 09:38 101 D653F3EC.TMP
13.09.2007 21:01 1.626 bt_search_de.gif
13.09.2007 20:29 385.024 MDownload.exe
13.09.2007 20:28 5.273 English.dow
13.09.2007 10:03 49.959 base141.avc
13.09.2007 10:03 50.325 base012c.avc
13.09.2007 03:30 113 DFC5A2B2.TMP
12.09.2007 18:49 48.224 unp038.avc
12.09.2007 14:53 15.068 2007-09-11-1776631031-RG.PDF
12.09.2007 14:51 16.630 2007-09-11-1776631031-EVN.PDF
12.09.2007 14:44 16.384 ~DF961A.tmp
11.09.2007 19:41 2.372 java_install_reg.log
11.09.2007 18:37 20 plugtmp-3-1
11.09.2007 18:36 16.384 ~DFCFCD.tmp
11.09.2007 11:49 44.526 base048c.avc
11.09.2007 11:49 46.875 ext004c.avc
10.09.2007 21:18 120.813 krnunp.avc
10.09.2007 21:11 16.384 ~DFB835.tmp
10.09.2007 21:10 78.810 ca.avc
10.09.2007 18:59 16.384 ~DFD9F7.tmp
10.09.2007 12:46 5.268 d5eb_appcompat.txt
09.09.2007 13:06 16.384 ~DFCE77.tmp
07.09.2007 13:05 48.418 ext002c.avc
07.09.2007 13:05 48.948 unp030.avc
07.09.2007 13:05 49.974 base047c.avc
07.09.2007 13:05 50.057 base046c.avc
07.09.2007 13:05 48.722 unp034.avc
07.09.2007 13:05 50.058 base045c.avc
06.09.2007 18:47 4.942 2d2c_appcompat.txt
06.09.2007 17:57 4.942 a1a1_appcompat.txt
06.09.2007 14:55 417.608 IUJ_34438.tmp
06.09.2007 14:39 314.113 IUJ_65575.tmp
06.09.2007 14:14 815.260 IUJ_17902.tmp
06.09.2007 14:00 1.160 jinstall.cfg
05.09.2007 12:34 1.154.681 000006.jpg
05.09.2007 09:54 49.316 base055.avc
05.09.2007 09:54 32.013 krnexe.avc
05.09.2007 09:54 65.394 unp035.avc
05.09.2007 09:54 48.871 base091.avc
05.09.2007 09:54 49.223 base037.avc
05.09.2007 09:54 50.807 unp005.avc
05.09.2007 09:54 48.882 base011.avc
05.09.2007 09:54 48.563 base010.avc
05.09.2007 09:54 49.107 base059.avc
05.09.2007 09:54 50.070 base044c.avc
05.09.2007 01:58 1.119.892 000012.jpg
04.09.2007 17:30 14.400 faristream.ppl
04.09.2007 17:30 14.912 farbuffer.ppl
04.09.2007 17:29 135.168 ScanningProcess.exe
04.09.2007 17:29 65.536 ikave.dll
04.09.2007 17:28 274.432 kave.dll
03.09.2007 12:28 48.186 unp033.avc
03.09.2007 12:28 50.091 base038c.avc
03.09.2007 12:28 42.227 unp032.avc
03.09.2007 12:28 49.954 base039c.avc
03.09.2007 12:28 11.542 ocr.avc
03.09.2007 12:28 49.886 base040c.avc
03.09.2007 12:28 49.807 base042c.avc
03.09.2007 12:28 50.048 base041c.avc
03.09.2007 12:28 49.035 base149.avc
03.09.2007 12:28 50.067 base043c.avc
03.09.2007 09:48 1.132 01FA0F93.key
02.09.2007 14:24 4.942 7c23_appcompat.txt
02.09.2007 01:33 16.384 Perflib_Perfdata_264.dat
02.09.2007 00:16 13.329.379 sxe5D.7z
02.09.2007 00:06 1.174 GoogleToolbarInstaller1.log
02.09.2007 00:06 95.502 GoogleToolbarInstaller2.log
01.09.2007 22:41 24.064 ad97a.mst
01.09.2007 18:57 24.064 86cdc.mst
01.09.2007 18:57 24.064 2a12b.mst
01.09.2007 18:57 24.064 52b7c.mst
01.09.2007 12:13 797.676 IMT7.xml
01.09.2007 12:13 426 IMT6.xml
01.09.2007 12:13 2.036 IMT5.xml
31.08.2007 10:15 78.840 krnexe32.avc
30.08.2007 13:32 797.676 IMT15.xml
30.08.2007 13:32 2.036 IMT13.xml
30.08.2007 13:32 426 IMT14.xml
30.08.2007 13:32 512 ~DFB51D.tmp
30.08.2007 13:32 16.384 ~DFB510.tmp
29.08.2007 10:26 72.335 krn001.avc
29.08.2007 10:26 48.775 base006.avc
29.08.2007 10:26 48.999 base008.avc
29.08.2007 10:26 29.901 gen001.avc
29.08.2007 10:26 49.810 base069.avc
29.08.2007 10:26 153.274 krnmacro.avc
29.08.2007 10:26 49.792 base113.avc
29.08.2007 10:26 12.807 kernel.avc
28.08.2007 10:06 23.927 unp021.avc
28.08.2007 10:06 49.800 base015c.avc
28.08.2007 10:06 63.767 unp023.avc
28.08.2007 10:06 49.848 base052.avc
28.08.2007 10:06 25.749 unp004.avc
28.08.2007 10:06 49.846 base049.avc
28.08.2007 10:06 49.114 base004.avc
28.08.2007 10:06 49.623 base024.avc
28.08.2007 10:06 48.023 base002.avc
28.08.2007 10:06 49.692 base111.avc
26.08.2007 18:13 49.170 base099.avc
26.08.2007 18:13 47.828 unp037.avc
26.08.2007 18:13 31.653 unp017.avc
26.08.2007 18:13 69.675 unp002.avc
23.08.2007 16:34 48.907 unp027.avc
23.08.2007 16:34 48.569 base009.avc
23.08.2007 16:34 49.530 base005.avc
23.08.2007 16:34 53.336 unp008.avc
23.08.2007 16:34 48.747 unp009.avc
23.08.2007 13:58 1.895 Portuguese.tcp
23.08.2007 13:52 7.844 Portuguese.lic
21.08.2007 12:23 49.821 base036c.avc
21.08.2007 12:23 14.231 mail.avx
21.08.2007 12:23 49.640 base035c.avc
21.08.2007 12:23 14.231 mail.avc
19.08.2007 18:31 8.759 Chinese.con
18.08.2007 10:25 46.823 krnjava.avc
18.08.2007 10:25 65.836 unp010.avc
18.08.2007 10:25 38.822 unp028.avc
18.08.2007 10:25 49.648 base029.avc
18.08.2007 10:25 75.943 unp007.avc
18.08.2007 10:25 29.818 krnengn.avc
18.08.2007 10:25 21.353 gen005.avc
18.08.2007 10:25 49.402 base130.avc
18.08.2007 10:25 49.872 base128.avc
18.08.2007 10:25 49.583 base114.avc
18.08.2007 10:25 37.383 unp031.avc
18.08.2007 10:25 36.871 gen002.avc
16.08.2007 12:40 8.114 English.lic
16.08.2007 11:40 12.741 Portuguese.con
16.08.2007 09:59 38.132 unp020.avc
16.08.2007 09:59 30.291 unp024.avc
16.08.2007 09:59 30.137 gen999.avc
16.08.2007 09:59 36.012 unp025.avc
16.08.2007 09:59 39.828 unp026.avc
16.08.2007 09:59 53.972 unp003.avc
16.08.2007 09:59 50.374 base034c.avc
16.08.2007 09:59 50.657 base109.avc
16.08.2007 09:59 49.990 base033c.avc
16.08.2007 09:59 49.493 base143.avc
16.08.2007 09:59 50.014 base032c.avc
16.08.2007 09:59 49.506 base134.avc
13.08.2007 21:55 50.265 ext003c.avc
13.08.2007 21:55 50.138 base148.avc
13.08.2007 21:55 50.023 base147.avc
13.08.2007 18:13 17.910 unp029.avc
09.08.2007 11:40 1.854 Spanishl.tcp
09.08.2007 08:42 12.551 Spanishl.con
09.08.2007 00:09 7.201 Spanishl.lic
08.08.2007 19:41 23.526 unp000.avc
08.08.2007 19:41 49.483 base032.avc
07.08.2007 11:25 46.136 unp036.avc

Hi,

falls du den CCleaner nicht erst nach den Scans
eingesetzt hast bzw. folgende Datei noch vorhanden
ist, würde ich gerne den Inhalt sehen:

Zitat:

{AC76BA86-7AD7-1031-7B44-A81000000003}.ini

Zitat:

Achso, und mit msconfig unterdrücke ich gerade auch etliche Programme, vielleicht sind die sehenswert? Dann könnt ich sie mal kopieren.

Ja, warum nicht, poste sie mal.

Ansonsten kann ich echt nix entdecken,
welche Probleme hast du eigentlich jetzt noch?

mfg Cleriker

Das ist unglaublich, soeben hat es geklappt, dass ich meine unerwünschten Programme deinstallieren konnte... Abgesehen davon, dass mein Internet manchmal unglaublich langsam ist, habe ich glaube ich (seitdem ich den Internet Explorer benutze und Firefox deinstalliert habe) keine Probleme mehr. Komisch.
Gestern hat der Spyware Doctor folgenden Virus gefunden und in Quarantäne gestellt: Trojan-PWS.OnlineGames.KW.
Ob dies allerdings was mit meinem Problem zu tun hatte, bezweifle ich.

Wie kann ich die von dir erwünschte Datei finden und anzeigen lassen?

Und die unterdrückten Programme aus msconfig zu kopieren, geht nicht. Wenn es was bringen sollte, kann ich sie abschreiben.

Jetzt hoffe ich, dass ich diese ganze Aufregung hier nicht umsonst verbreitet habe... Ich verstehe das nicht.

Wie auch immer, vielen herzlichen Dank!!

Zitat:

Zitat von heixi

Gestern hat der Spyware Doctor folgenden Virus gefunden und in Quarantäne gestellt: Trojan-PWS.OnlineGames.KW.
Ob dies allerdings was mit meinem Problem zu tun hatte, bezweifle ich.

Wo genau hat er den gefunden? Die exakte Meldung wird benötigt.

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\PRINCE~1\LOKALE~1\Temp\MDownload.exe
         

Prüf bitte diese Datei bei virustotal:
VirusTotal - Kostenloser online Viren- und Malwarescanner

Poste hier nach Scanende alle Ergebnisse inkl. der MD5- und SHA1-Werte.

VirusTotal hat glaube ich nichts gefunden:


Datei MDownload.exe empfangen 2007.09.21 13:29:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.21 -
Authentium 4.93.8 2007.09.20 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.20 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.20 -
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5153 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.20 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5124 2007.09.20 -
Microsoft 1.2803 2007.09.21 -
NOD32v2 2543 2007.09.21 -
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.21 -
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.21 -
TheHacker 6.2.5.064 2007.09.21 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.20 -
Webwasher-Gateway 6.0.1 2007.09.21 -
weitere Informationen
File size: 385024 bytes
MD5: 79cea825d7aa9726e55b9e97329ce069
SHA1: e0ce9dcd0ea1e59e3eaafe1a0a1547426ec2e8d4

Also was ich bei Spyware an Informationen finden konnte:
Name: Trojan-PWS.OnlineGames.KW
Typ: File
Risiko-Stufe: hoch
Infektion: C:\ Dokumente und Einstellungen\PRINCESSE\LOKALE EINSTELLUNGEN\TEMP\kavss.dll

Da ich nur die gratis Version habe, konnte Spyware diesen Virus weder entfernen noch reparieren, soviel ich weiß wurde er aber in Quarantäne gestellt.

Lieber Gruß, Heike