Hallo zusammen

Ich habe ein echtes Problem mit meinem Rechner und werde langsam wahnsinnig. Bisher konnte mir keiner helfen ud ich les mich durch hundete Foren. Hab bei Euch mal ein ähnliches Problem gefunden deswegen hoffe ich, dass ihr mir helfen könnt.

Ich fliege nach 5 - 10min aus dem netz raus und kann danach nicht mehr rein, dass Verbindungsfenster zum conekten, blinkt nur kurz auf und ich kann nicht mehr rein und muss dann neu starten. Ich bekomme eine Fehlermeldung da steht :

Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden.
In der Detailliste steht was von svchost.exe in diesem Forum habe ich einen Beitrag gefunden dass es evtl hilft, das auto. update von windows auszuschalten. Hab ich ausprobiert und hat leider nicht geholfen. Modem hab ich gewechselt in der Hoffnung das es daran lag. auch nix.... AntiVir hab ich durchlaufen lassen (heute aktualiesiert) und der hat auch nichts gefunden.

Bitte helft mir sonst schmeiss ich das Teil ausm Fenster und schick meine Briefe per Post. Bin für jeden Beitrag dankbar !

Danke schonmal

Gruss
Bulli

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Ich hoffe ich hab alles richtig gemacht
Bei der Fehlermeldung zeigt mir der Detailbutton:


EventType : BEX P1 : svchost.exe P2 : 5.1.2600.2180 P3 : 41107ed6
P4 : netapi32.dll P5 : 5.1.2600.2180 P6 : 4110968b P7 : 0000a3c0
P8 : c0000409 P9 : 00000000


C:\DOKUME~1\Standard\LOKALE~1\Temp\WER53cd.dir00\svchost.exe.mdmp
C:\DOKUME~1\Standard\LOKALE~1\Temp\WER53cd.dir00\appcompat.txt


Ansonsten :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:51, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe
C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Standard\Desktop\tobias\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [TQ566808] "E:\Setup.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18443999-C14F-4680-8928-8C96A7CBFDBE}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{18443999-C14F-4680-8928-8C96A7CBFDBE}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6589 bytes


ICh hoffe IHr könnt damit was anfangen, für mich is das Chinesisch

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ok werd das morgen abend in angriff nehmen. Danke nochmal

verschieb

GUA

ja ich glaub ich weiss was du meinst de scan läuft schon ne ganze zeit. Angbelich schon 2 Viren gefunden...

Ich lass mal laufen ( wer weiss wie lang noch ) und werd euch dann morgen abend wieder berichten

also bei eScan kam folgendes raus... hoffe hab alles richtig gemacht :


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/24/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Eigene Dateien\Tim\downloads\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei D:\Eigene Dateien\Tim\IRC\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Standard\LOKALE~1\TEMPOR~1\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\winamp\winamp5093_lite.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 85730
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 18
Dauer des Scans bisher: 00:47:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 10:29:29,10
Batchende: 10:29:50,25

blacklight:

09/26/07 10:45:07 [Info]: BlackLight Engine 1.0.64 initialized
09/26/07 10:45:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/26/07 10:45:07 [Note]: 7019 4
09/26/07 10:45:07 [Note]: 7005 0
09/26/07 10:45:09 [Note]: 7006 0
09/26/07 10:45:09 [Note]: 7011 1444
09/26/07 10:49:02 [Note]: 7026 0
09/26/07 10:49:02 [Note]: 7026 0
09/26/07 10:49:04 [Note]: FSRAW library version 1.7.1022
09/26/07 10:50:51 [Note]: 2000 1012
09/26/07 10:50:51 [Note]: 7007 0

silentrunner:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"(Default)" = "(empty string)" [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WireLessMouse" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe" [empty string]
"WireLessKeyboard" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe" [empty string]
"TQ566808" = ""E:\Setup.exe"" [file not found]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"RemoteControl" = ""d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"ThreatFire" = "C:\Programme\ThreatFire\TFTray.exe" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "d:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Kodak Camera Connection Software, KodakCCS, "C:\WINDOWS\system32\drivers\KodakCCS.exe" ["Eastman Kodak Company"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
ThreatFire, ThreatFire, "C:\Programme\ThreatFire\TFService.exe service" ["PC Tools"]
User Profile Hive Cleanup, UPHClean, "C:\Programme\UPHClean\uphclean.exe" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "TfKbMon" ["PC Tools"]


---------- (launch time: 2007-09-26 10:55:06)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 4 seconds for message boxes)


also bei eScan kam folgendes raus... hoffe hab alles richtig gemacht :


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/24/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Eigene Dateien\Tim\downloads\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei D:\Eigene Dateien\Tim\IRC\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Standard\LOKALE~1\TEMPOR~1\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\winamp\winamp5093_lite.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 85730
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 18
Dauer des Scans bisher: 00:47:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 10:29:29,10
Batchende: 10:29:50,25

blacklight:

09/26/07 10:45:07 [Info]: BlackLight Engine 1.0.64 initialized
09/26/07 10:45:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/26/07 10:45:07 [Note]: 7019 4
09/26/07 10:45:07 [Note]: 7005 0
09/26/07 10:45:09 [Note]: 7006 0
09/26/07 10:45:09 [Note]: 7011 1444
09/26/07 10:49:02 [Note]: 7026 0
09/26/07 10:49:02 [Note]: 7026 0
09/26/07 10:49:04 [Note]: FSRAW library version 1.7.1022
09/26/07 10:50:51 [Note]: 2000 1012
09/26/07 10:50:51 [Note]: 7007 0

silentrunner:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"(Default)" = "(empty string)" [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WireLessMouse" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe" [empty string]
"WireLessKeyboard" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe" [empty string]
"TQ566808" = ""E:\Setup.exe"" [file not found]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"RemoteControl" = ""d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"ThreatFire" = "C:\Programme\ThreatFire\TFTray.exe" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "d:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Kodak Camera Connection Software, KodakCCS, "C:\WINDOWS\system32\drivers\KodakCCS.exe" ["Eastman Kodak Company"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
ThreatFire, ThreatFire, "C:\Programme\ThreatFire\TFService.exe service" ["PC Tools"]
User Profile Hive Cleanup, UPHClean, "C:\Programme\UPHClean\uphclean.exe" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "TfKbMon" ["PC Tools"]


---------- (launch time: 2007-09-26 10:55:06)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.


+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 4 seconds for message boxes)

Und der letzte Teil:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\

26.09.2007 11:03 1.006.161.920 hiberfil.sys
24.09.2007 22:23 97 23990098.$$$
11.05.2007 10:20 211 boot.ini
14.09.2006 18:31 1.509.138.432 pagefile.sys
13.05.2006 15:46 406.244 EasyShareInstall.log
30.03.2005 20:35 97 AUTOEXEC.BAT
03.01.2005 13:42 0 IO.SYS
03.01.2005 13:42 0 MSDOS.SYS
03.01.2005 13:42 0 CONFIG.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
26.09.2002 21:48 45.972 CAMSETUI.CHM
18.08.2001 14:00 4.952 bootfont.bin
13 Datei(en) 2.516.056.673 Bytes
0 Verzeichnis(se), 13.508.730.880 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\WINDOWS\system32

25.09.2007 22:34 664 d3d9caps.dat
22.09.2007 18:59 2.206 wpa.dbl
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
09.07.2007 22:53 1.024 default_user_class.dat.LOG
09.07.2007 22:53 262.144 default_user_class.dat
07.07.2007 17:01 2.953 CONFIG.NT


----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\WINDOWS\Prefetch

26.09.2007 11:09 18.220 NOTEPAD.EXE-336351A9.pf
26.09.2007 11:08 8.684 MORE.COM-32DCB7E4.pf
26.09.2007 11:08 62.988 CMD.EXE-087B4001.pf
26.09.2007 11:07 29.962 WINZIP32.EXE-2F3C90C9.pf
26.09.2007 11:05 41.748 WMIPRVSE.EXE-28F301A9.pf
26.09.2007 11:05 78.250 ICQLITE.EXE-01822910.pf
26.09.2007 11:05 44.672 WUAUCLT.EXE-399A8E72.pf
26.09.2007 11:05 88.722 IEXPLORE.EXE-2CA9778D.pf
26.09.2007 11:02 35.662 SVCHOST.EXE-3530F672.pf
26.09.2007 11:02 16.552 DRWTSN32.EXE-2B4B52AC.pf
26.09.2007 11:01 30.596 DWWIN.EXE-30875ADC.pf
26.09.2007 11:01 133.168 DUMPREP.EXE-1B46F901.pf
26.09.2007 10:59 17.878 VERCLSID.EXE-3667BD89.pf
26.09.2007 10:56 68.072 EASYSHARE.EXE-04D9D20D.pf
26.09.2007 10:51 22.944 MSPAINT.EXE-11CBB631.pf
26.09.2007 10:46 57.800 NMIndexStoreSvr.exe-1DBCF9FD.pf
26.09.2007 10:44 26.250 ACRORD32INFO.EXE-30CEC19C.pf
26.09.2007 10:43 20.160 THIS.COM-0EBA78C2.pf
26.09.2007 10:30 20.074 LOGONUI.EXE-0AF22957.pf
26.09.2007 10:30 7.348 WSCNTFY.EXE-1B24F5EB.pf
25.09.2007 22:34 88.708 EXPLORER.EXE-082F38A9.pf
25.09.2007 22:34 85.980 GOOGLEEARTH.EXE-0978F2AD.pf
25.09.2007 22:13 25.856 WINWORD.EXE-39A7680E.pf
25.09.2007 22:12 71.126 MSIMN.EXE-0B61806C.pf
25.09.2007 22:07 43.024 UPDATE.EXE-13D57D76.pf
25.09.2007 22:07 13.236 PREUPD.EXE-358AA1C1.pf
25.09.2007 12:00 98.814 LOGON.SCR-151EFAEA.pf
25.09.2007 11:46 14.982 MWAVL.EXE-22EB0F08.pf
24.09.2007 22:06 79.256 RASAUTOU.EXE-18B88A68.pf
24.09.2007 21:41 78.528 WORDPAD.EXE-1EFCC5C1.pf
24.09.2007 21:33 77.052 MWAV.EXE-1804D690.pf
24.09.2007 21:25 45.244 MSHTA.EXE-331DF029.pf
24.09.2007 21:25 14.106 RUNDLL32.EXE-19F507BE.pf
24.09.2007 21:16 28.114 RUNDLL32.EXE-44A0B4BC.pf
24.09.2007 21:14 89.684 ACRORD32.EXE-0EC716D9.pf
24.09.2007 19:46 13.526 REGSVR32.EXE-25EEFE2F.pf
24.09.2007 19:46 57.650 AVGNT.EXE-36CA4640.pf
24.09.2007 19:44 18.036 SPIDER.EXE-2D998CA6.pf
24.09.2007 17:54 52.118 QUICKTIMEPLAYER.EXE-1683395B.pf
24.09.2007 17:46 124.524 AVNOTIFY.EXE-22AE9451.pf
24.09.2007 17:33 32.054 TASKMGR.EXE-20256C55.pf
24.09.2007 17:30 14.632 RUNDLL32.EXE-470F11BD.pf
24.09.2007 17:30 73.810 RUNDLL32.EXE-2576181F.pf
24.09.2007 17:30 48.614 AVSCAN.EXE-05AECC0E.pf
24.09.2007 17:30 55.390 AVCENTER.EXE-37584419.pf
24.09.2007 15:22 15.070 ALG.EXE-0F138680.pf
24.09.2007 15:22 7.542 UPHCLEAN.EXE-00BAD801.pf
24.09.2007 15:22 6.976 WDFMGR.EXE-2CF4013B.pf
24.09.2007 15:22 16.706 IMAPI.EXE-0BF740A4.pf
24.09.2007 15:22 13.684 KODAKCCS.EXE-127A2F4A.pf
24.09.2007 15:22 35.024 SCHED.EXE-236A886F.pf
24.09.2007 15:22 9.998 LSSRVC.EXE-164808EA.pf
23.09.2007 20:08 25.254 CONTROL.EXE-013DBFB5.pf
23.09.2007 20:08 33.230 RUNDLL32.EXE-1831A4F3.pf
23.09.2007 19:43 358.982 Layout.ini
23.09.2007 19:31 59.136 REALPLAY.EXE-39F79CBD.pf
23.09.2007 19:04 57.000 AVCONFIG.EXE-3B8B9C26.pf
23.09.2007 19:03 13.954 RUNDLL32.EXE-3706001F.pf
23.09.2007 19:03 19.260 RUNDLL32.EXE-327ED30F.pf
23.09.2007 19:03 17.746 RUNDLL32.EXE-29A2BA7C.pf
23.09.2007 18:45 19.464 TASKLIST.EXE-10D94B23.pf
23.09.2007 17:18 45.674 DFRGNTFS.EXE-269967DF.pf
23.09.2007 17:18 53.536 DEFRAG.EXE-273F131E.pf
19.09.2007 11:58 34.168 WINHLP32.EXE-2C18E975.pf
19.09.2007 11:55 11.820 REALSCHED.EXE-0A2A7558.pf
19.09.2007 11:54 11.064 RUNDLL32.EXE-268BFF96.pf
17.09.2007 12:40 25.302 EXCEL.EXE-050F3EE5.pf
16.09.2007 19:31 32.292 HELPHOST.EXE-247D2792.pf
16.09.2007 19:31 64.152 HELPSVC.EXE-2878DDA2.pf
16.09.2007 19:31 71.354 HELPCTR.EXE-3862B6F5.pf
16.09.2007 13:38 13.506 CALC.EXE-02CD573A.pf
16.09.2007 13:28 55.684 AVGUARD.EXE-3490B18B.pf
16.09.2007 13:28 41.398 UPDATE.EXE-0030A94A.pf
06.09.2007 16:00 44.970 HH.EXE-2D1A70B3.pf
02.09.2007 22:57 98.800 PRODUCER.EXE-00A8EE41.pf
02.09.2007 22:57 37.790 POWERDVD.EXE-22E5201F.pf
02.09.2007 19:46 14.218 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
02.09.2007 19:46 24.006 RPHELPERAPP.EXE-1A0D7CAC.pf
02.09.2007 19:45 57.718 WMPLAYER.EXE-0996933B.pf
02.09.2007 19:44 101.696 WINAMP.EXE-065B55C4.pf
02.09.2007 19:21 60.384 NERO.EXE-2031B565.pf
02.09.2007 19:20 60.808 NEROVISION.EXE-0D954CB8.pf
02.09.2007 19:19 61.048 NEROSTARTSMART.EXE-0A488AA3.pf
02.09.2007 19:13 89.510 POWERDIRECTOR.EXE-149870E0.pf
01.09.2007 23:33 10.734 RUNDLL32.EXE-451FC2C0.pf
01.09.2007 23:30 51.600 WMPLAYER.EXE-09969332.pf
01.09.2007 18:33 13.192 RUNDLL32.EXE-3819C601.pf
01.09.2007 18:28 12.358 PDVDSERV.EXE-1330D52B.pf
01.09.2007 18:28 11.716 REGEDIT.EXE-1B606482.pf
01.09.2007 18:28 40.244 IKERNEL.EXE-092EF074.pf
01.09.2007 18:23 12.300 SETUP.EXE-20964567.pf
01.09.2007 18:22 9.292 INSTALL.EXE-0EAC8F48.pf
12.08.2007 21:41 22.512 RUNDLL32.EXE-14FC201E.pf
12.08.2007 21:41 19.580 RUNDLL32.EXE-19AB0AEF.pf
09.08.2007 19:34 26.178 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
07.08.2007 16:29 28.138 RUNDLL32.EXE-147710F4.pf
07.08.2007 16:26 31.320 MSMSGS.EXE-32066BA5.pf
06.08.2007 00:51 54.072 WMPLAYER.EXE-09969339.pf


----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\WINDOWS

26.09.2007 11:04 0 0.log
26.09.2007 11:04 1.307.920 WindowsUpdate.log
26.09.2007 11:04 159 wiadebug.log
26.09.2007 11:04 50 wiaservc.log
26.09.2007 11:03 54.156 QTFont.qfn
26.09.2007 11:03 2.048 bootstat.dat
26.09.2007 11:02 32.624 SchedLgU.Txt
26.09.2007 10:42 1.409 QTFont.for
25.09.2007 11:45 26 Lic.xxx
24.09.2007 21:35 499 win.ini
02.09.2007 19:46 69 NeroDigital.ini
02.09.2007 19:43 1.125 winamp.ini
01.09.2007 18:33 757.304 setupapi.log
03.08.2007 20:32 8.892 Standard8.xlb


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\WINDOWS\tasks

26.09.2007 11:03 6 SA.DAT
21.09.2007 17:15 402 1-Klick-Wartung.job
18.08.2001 14:00 65 desktop.ini
3 Datei(en) 473 Bytes
0 Verzeichnis(se), 13.508.620.288 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\WINDOWS\temp

16.09.2007 13:25 0 Upd35.tmp
14.09.2007 19:10 0 Upd34.tmp
13.09.2007 19:10 0 Upd33.tmp
11.09.2007 18:49 0 Upd32.tmp
10.09.2007 15:56 0 Upd31.tmp
09.09.2007 13:28 0 Upd30.tmp
07.09.2007 08:35 0 Upd2F.tmp
06.09.2007 08:35 0 Upd2E.tmp
04.09.2007 20:39 0 Upd2D.tmp
03.09.2007 20:39 0 Upd2C.tmp
03.09.2007 17:54 0 Upd2B.tmp
02.09.2007 18:36 0 Upd2A.tmp
01.09.2007 18:35 0 Upd28.tmp
01.09.2007 18:17 0 Upd27.tmp
31.08.2007 09:37 0 Upd26.tmp
29.08.2007 12:11 0 Upd25.tmp
29.08.2007 10:55 0 Upd24.tmp
29.08.2007 09:33 0 Upd56.tmp
27.08.2007 18:15 0 Upd23.tmp
25.08.2007 21:49 0 Upd22.tmp
24.08.2007 19:05 0 Upd21.tmp
23.08.2007 11:01 0 Upd20.tmp
22.08.2007 10:53 0 Upd1F.tmp
20.08.2007 22:33 0 Upd1E.tmp



----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A2-73AB

Verzeichnis von C:\DOKUME~1\Standard\LOKALE~1\Temp

26.09.2007 11:09 117.588 filelist.txt
26.09.2007 11:06 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}19396.html
26.09.2007 11:05 512 ~DF7C71.tmp
26.09.2007 11:05 16.384 ~DF7C61.tmp
26.09.2007 11:05 16.384 ~DF7C21.tmp
26.09.2007 11:05 16.384 ~DF7C01.tmp
26.09.2007 11:05 512 ~DF7C11.tmp
26.09.2007 11:05 16.384 ~DF7C41.tmp
26.09.2007 11:05 512 ~DF7C31.tmp
26.09.2007 11:05 512 ~DF7C51.tmp
26.09.2007 11:05 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}32549.html
26.09.2007 11:05 16.384 ~DF304A.tmp
26.09.2007 11:05 16.384 ~DF2AC8.tmp
26.09.2007 11:05 512 ~DF2AD8.tmp
26.09.2007 10:55 16.384 ~DF186D.tmp
26.09.2007 10:55 16.384 ~DFE79.tmp
26.09.2007 10:01 16.384 ~DFD233.tmp
26.09.2007 10:01 16.384 ~DFA978.tmp
25.09.2007 12:03 7.706.372 MWAV.LOG
25.09.2007 12:03 228.652 sfdb.dat
25.09.2007 11:45 21.435 mwXface.log
25.09.2007 11:45 1.046.078 MWAVC.LOG
24.09.2007 21:35 1.174 Download.log
24.09.2007 21:35 0 filelist.lst
24.09.2007 21:35 0 download.lck
24.09.2007 21:35 360 EUpdate.ini
24.09.2007 21:34 626.688 msvcr80.dll
24.09.2007 21:34 548.864 msvcp80.dll
24.09.2007 21:34 241.664 MYDB.DLL
24.09.2007 17:55 16.384 ~DFAB9B.tmp
24.09.2007 17:55 16.384 ~DFA69C.tmp
24.09.2007 17:30 832 PrePict.htm
24.09.2007 17:01 16.384 ~DF501E.tmp
24.09.2007 17:01 16.384 ~DF503D.tmp
24.09.2007 17:01 16.384 ~DF5000.tmp
24.09.2007 17:01 16.384 ~DF4FCC.tmp
24.09.2007 17:01 16.384 ~DFC5EF.tmp
24.09.2007 17:01 16.384 ~DF99CA.tmp
24.09.2007 12:03 34.523 fa.avc
24.09.2007 12:03 22.105 ext009.avc
24.09.2007 12:03 27.028 avp.klb
24.09.2007 12:03 1.850 daily-ex.avx
24.09.2007 12:03 21.012 unp039.avc
24.09.2007 12:03 1.850 daily-ex.avc
24.09.2007 12:03 39.163 daily.avc
24.09.2007 12:03 745 daily-ec.avc
24.09.2007 12:03 50.225 base150.avc
24.09.2007 12:03 64.412 base152.avc
24.09.2007 12:03 179.562 base049c.avc
24.09.2007 12:03 10.886 ext005c.avc
24.09.2007 12:03 2.893 dailyc.avc
24.09.2007 12:03 26.000 fa001.avc
24.09.2007 11:49 250.306 spydb.avs
24.09.2007 11:49 1.235.232 File2.sdb
24.09.2007 11:49 161.174 Spyware.sdb
24.09.2007 11:49 2.068.971 File1.sdb
24.09.2007 11:49 250.306 spydb.old
24.09.2007 11:49 1.269.743 Cid.sdb
24.09.2007 11:49 726.362 Dir.sdb
23.09.2007 19:26 16.384 ~DF3131.tmp
23.09.2007 18:54 16.384 ~DF75.tmp
23.09.2007 18:54 16.384 ~DFF909.tmp
23.09.2007 16:53 12.480 java_install_reg.log
22.09.2007 21:18 204.087 phupdn.txt
22.09.2007 21:04 18.427 global.daz
22.09.2007 21:04 59.966 phupdn.txz
21.09.2007 17:08 11.209 English.con
21.09.2007 14:17 90.996 Chinese.Age
21.09.2007 14:17 4.225 Chinese.dow
21.09.2007 14:17 110.439 Icelandic.Age
21.09.2007 14:17 5.326 Icelandic.dow
21.09.2007 14:17 115.349 Polish.Age
21.09.2007 14:17 112.207 Finnish.Age
21.09.2007 14:17 5.595 Finnish.dow
21.09.2007 14:17 6.227 Polish.dow
21.09.2007 14:17 116.504 French.Age
21.09.2007 14:17 6.105 French.dow
21.09.2007 14:17 115.397 Spanish.Age
21.09.2007 14:17 5.757 Spanish.dow
21.09.2007 14:17 116.118 Spanishl.Age
21.09.2007 14:17 6.124 Spanishl.dow
21.09.2007 14:17 111.149 Romanian.Age
21.09.2007 14:17 5.659 Romanian.dow
21.09.2007 14:17 124.130 Portuguese.Age
21.09.2007 14:17 6.048 Portuguese.dow
21.09.2007 14:17 122.760 Italian.Age
21.09.2007 14:17 5.681 Italian.dow
21.09.2007 14:17 125.547 German.Age
21.09.2007 14:17 125.547 language.ini
21.09.2007 14:17 5.812 Download.lan
21.09.2007 14:17 5.812 German.dow
21.09.2007 14:08 47.884 unp037.avc
21.09.2007 10:29 120.953 krnunp.avc
20.09.2007 15:51 500.736 Download.exe
20.09.2007 15:51 5.316 English.dow
19.09.2007 15:14 53.948 base144.avc
19.09.2007 15:14 49.931 base110.avc
19.09.2007 15:14 39.794 krn004.avc
18.09.2007 14:49 167.936 esupdate.exe
18.09.2007 14:49 56.320 reload.exe
18.09.2007 14:00 122.880 avpmhook.dll
18.09.2007 13:39 38.912 unregx.exe
18.09.2007 13:29 1.949.696 msvl64.dll
18.09.2007 13:25 43.520 setpriv.exe
18.09.2007 13:25 430.144 mexe.com
18.09.2007 13:25 430.144 mwavscan.com
18.09.2007 13:23 143.360 msvlclnt.dll
18.09.2007 13:19 44.608 Getvlist.exe
17.09.2007 18:53 48.406 base016.avc
17.09.2007 18:31 15.148 config.lan
17.09.2007 18:31 15.148 German.con
17.09.2007 09:43 50.068 base151.avc
16.09.2007 17:22 46.514 unp001.avc
16.09.2007 17:22 49.897 base037c.avc
16.09.2007 17:22 50.286 base006c.avc
16.09.2007 12:17 732 esupd.ini
14.09.2007 19:41 53.712 be7d_appcompat.txt
14.09.2007 17:18 51.867 English.Age
13.09.2007 20:29 385.024 MDownload.exe
13.09.2007 10:03 49.959 base141.avc
13.09.2007 10:03 50.325 base012c.avc
12.09.2007 18:49 48.224 unp038.avc
11.09.2007 11:49 44.526 base048c.avc
11.09.2007 11:49 46.875 ext004c.avc
10.09.2007 23:33 3.756 avp_x.set
10.09.2007 23:33 3.756 avp.set
10.09.2007 23:33 3.756 avp_ext.set
10.09.2007 21:10 78.810 ca.avc
07.09.2007 13:05 48.722 unp034.avc
07.09.2007 13:05 48.948 unp030.avc
07.09.2007 13:05 48.418 ext002c.avc
07.09.2007 13:05 50.057 base046c.avc
07.09.2007 13:05 49.974 base047c.avc
07.09.2007 13:05 50.058 base045c.avc
06.09.2007 16:00 798.234 IMT3.xml
06.09.2007 16:00 426 IMT2.xml
06.09.2007 16:00 2.036 IMT1.xml
05.09.2007 09:54 65.394 unp035.avc
05.09.2007 09:54 48.871 base091.avc
05.09.2007 09:54 50.807 unp005.avc
05.09.2007 09:54 49.316 base055.avc
05.09.2007 09:54 49.223 base037.avc
05.09.2007 09:54 49.107 base059.avc
05.09.2007 09:54 48.882 base011.avc
05.09.2007 09:54 48.563 base010.avc
05.09.2007 09:54 50.070 base044c.avc
05.09.2007 09:54 32.013 krnexe.avc
04.09.2007 17:30 14.400 faristream.ppl
04.09.2007 17:30 14.912 farbuffer.ppl
04.09.2007 17:29 135.168 ScanningProcess.exe
04.09.2007 17:29 65.536 ikave.dll
04.09.2007 17:28 274.432 kave.dll
03.09.2007 12:28 48.186 unp033.avc
03.09.2007 12:28 42.227 unp032.avc
03.09.2007 12:28 49.035 base149.avc
03.09.2007 12:28 50.048 base041c.avc
03.09.2007 12:28 49.807 base042c.avc
03.09.2007 12:28 49.886 base040c.avc
03.09.2007 12:28 50.067 base043c.avc
03.09.2007 12:28 50.091 base038c.avc
03.09.2007 12:28 49.954 base039c.avc
03.09.2007 12:28 11.542 ocr.avc
03.09.2007 09:48 1.132 01FA0F93.key
02.09.2007 19:54 0 ~fn3B.tmp
02.09.2007 19:48 0 ~fn3A.tmp
02.09.2007 19:40 0 ~fn39.tmp
31.08.2007 10:15 78.840 krnexe32.avc
29.08.2007 10:26 29.901 gen001.avc
29.08.2007 10:26 49.792 base113.avc
29.08.2007 10:26 48.775 base006.avc
29.08.2007 10:26 48.999 base008.avc
29.08.2007 10:26 49.810 base069.avc
29.08.2007 10:26 72.335 krn001.avc
29.08.2007 10:26 153.274 krnmacro.avc
29.08.2007 10:26 12.807 kernel.avc
28.08.2007 10:06 63.767 unp023.avc
28.08.2007 10:06 23.927 unp021.avc
28.08.2007 10:06 25.749 unp004.avc
28.08.2007 10:06 49.692 base111.avc
28.08.2007 10:06 49.848 base052.avc
28.08.2007 10:06 49.623 base024.avc
28.08.2007 10:06 49.846 base049.avc
28.08.2007 10:06 49.114 base004.avc
28.08.2007 10:06 48.023 base002.avc
28.08.2007 10:06 49.800 base015c.avc
27.08.2007 18:15 512 ~DFE372.tmp
27.08.2007 18:15 512 ~DFE390.tmp
27.08.2007 18:15 16.384 ~DFE381.tmp
27.08.2007 18:15 16.384 ~DFE360.tmp
27.08.2007 18:15 512 ~DFE351.tmp
27.08.2007 18:15 512 ~DFE333.tmp
27.08.2007 18:15 16.384 ~DFE30F.tmp
27.08.2007 18:15 16.384 ~DFE342.tmp
27.08.2007 18:14 16.384 ~DFF577.tmp
27.08.2007 18:14 512 ~DFDA88.tmp
27.08.2007 18:14 16.384 ~DFDA79.tmp
26.08.2007 18:13 69.675 unp002.avc
26.08.2007 18:13 31.653 unp017.avc
26.08.2007 18:13 49.170 base099.avc

Wenn ich nix überlesen hab, finde ich nix, auf Verdacht hin bitte ich Dich noch zwei Tools laufen zu lassen.

Lade KHS
http://dondie.de/dbdats/tools/KHS.exe
Poste das Ergebnis.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Wenn Dann nix rauskomm tipp ich auf einen Hardwarefehler.

ok werd ich tun. Danke noch mal.


Was mich nur ein bisschen stuzig macht is:

Gescannte Dateien: 85730
Gefundene Viren: 5

??? hab täglich antivirusprogramm laufen lassen... kann es auch schon daran liegen ?

Zitat:

Zitat von bulli1982

??? hab täglich antivirusprogramm laufen lassen... kann es auch schon daran liegen ?

Was vestehst Du nicht? Ich versteh Dich nicht.

Naja, ich hab jedenTag Antivirusprogramm durchlaufen lassen aber nie was gefunden.

Und escan findet auf einmal 5...

Kann es sein, dass die Netzwerkkarte hops is ? Oder würde der dann gar nitmehr ins netz kommen ?