|
Plagegeister aller Art und deren Bekämpfung: Ich verzweifel :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.09.2007, 18:26 | #1 |
| Ich verzweifel :( Hallo zusammen Ich habe ein echtes Problem mit meinem Rechner und werde langsam wahnsinnig. Bisher konnte mir keiner helfen ud ich les mich durch hundete Foren. Hab bei Euch mal ein ähnliches Problem gefunden deswegen hoffe ich, dass ihr mir helfen könnt. Ich fliege nach 5 - 10min aus dem netz raus und kann danach nicht mehr rein, dass Verbindungsfenster zum conekten, blinkt nur kurz auf und ich kann nicht mehr rein und muss dann neu starten. Ich bekomme eine Fehlermeldung da steht : Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden. In der Detailliste steht was von svchost.exe in diesem Forum habe ich einen Beitrag gefunden dass es evtl hilft, das auto. update von windows auszuschalten. Hab ich ausprobiert und hat leider nicht geholfen. Modem hab ich gewechselt in der Hoffnung das es daran lag. auch nix.... AntiVir hab ich durchlaufen lassen (heute aktualiesiert) und der hat auch nichts gefunden. Bitte helft mir sonst schmeiss ich das Teil ausm Fenster und schick meine Briefe per Post. Bin für jeden Beitrag dankbar ! Danke schonmal Gruss Bulli |
23.09.2007, 18:28 | #2 |
> MalwareDB | Ich verzweifel :( Erstellung eines Hijacklog
__________________-Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
__________________ |
23.09.2007, 21:23 | #3 |
| Ich verzweifel :( Ich hoffe ich hab alles richtig gemacht
__________________Bei der Fehlermeldung zeigt mir der Detailbutton: EventType : BEX P1 : svchost.exe P2 : 5.1.2600.2180 P3 : 41107ed6 P4 : netapi32.dll P5 : 5.1.2600.2180 P6 : 4110968b P7 : 0000a3c0 P8 : c0000409 P9 : 00000000 C:\DOKUME~1\Standard\LOKALE~1\Temp\WER53cd.dir00\svchost.exe.mdmp C:\DOKUME~1\Standard\LOKALE~1\Temp\WER53cd.dir00\appcompat.txt Ansonsten : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:42:51, on 23.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Standard\Desktop\tobias\This.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [TQ566808] "E:\Setup.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{18443999-C14F-4680-8928-8C96A7CBFDBE}: NameServer = 81.173.194.68 194.8.194.60 O17 - HKLM\System\CS1\Services\Tcpip\..\{18443999-C14F-4680-8928-8C96A7CBFDBE}: NameServer = 81.173.194.68 194.8.194.60 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- End of file - 6589 bytes ICh hoffe IHr könnt damit was anfangen, für mich is das Chinesisch |
23.09.2007, 21:32 | #4 |
> MalwareDB | Ich verzweifel :( Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
23.09.2007, 21:36 | #5 |
| Ich verzweifel :( Ok werd das morgen abend in angriff nehmen. Danke nochmal |
24.09.2007, 05:15 | #6 |
entlassen | Ich verzweifel :( verschieb GUA |
24.09.2007, 21:00 | #7 |
| Ich verzweifel :( ja ich glaub ich weiss was du meinst de scan läuft schon ne ganze zeit. Angbelich schon 2 Viren gefunden... Ich lass mal laufen ( wer weiss wie lang noch ) und werd euch dann morgen abend wieder berichten |
26.09.2007, 10:19 | #8 |
| Ich verzweifel :( also bei eScan kam folgendes raus... hoffe hab alles richtig gemacht : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 9/24/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Eigene Dateien\Tim\downloads\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei D:\Eigene Dateien\Tim\IRC\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Standard\LOKALE~1\TEMPOR~1\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\winamp\winamp5093_lite.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 85730 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 18 Dauer des Scans bisher: 00:47:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 10:29:29,10 Batchende: 10:29:50,25 blacklight: 09/26/07 10:45:07 [Info]: BlackLight Engine 1.0.64 initialized 09/26/07 10:45:07 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/26/07 10:45:07 [Note]: 7019 4 09/26/07 10:45:07 [Note]: 7005 0 09/26/07 10:45:09 [Note]: 7006 0 09/26/07 10:45:09 [Note]: 7011 1444 09/26/07 10:49:02 [Note]: 7026 0 09/26/07 10:49:02 [Note]: 7026 0 09/26/07 10:49:04 [Note]: FSRAW library version 1.7.1022 09/26/07 10:50:51 [Note]: 2000 1012 09/26/07 10:50:51 [Note]: 7007 0 silentrunner: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "(Default)" = "(empty string)" [file not found] "Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "WireLessMouse" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe" [empty string] "WireLessKeyboard" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe" [empty string] "TQ566808" = ""E:\Setup.exe"" [file not found] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "RemoteControl" = ""d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "ThreatFire" = "C:\Programme\ThreatFire\TFTray.exe" ["PC Tools"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension" -> {HKLM...CLSID} = "KodakShellExtension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "d:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] Kodak Camera Connection Software, KodakCCS, "C:\WINDOWS\system32\drivers\KodakCCS.exe" ["Eastman Kodak Company"] LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"] ThreatFire, ThreatFire, "C:\Programme\ThreatFire\TFService.exe service" ["PC Tools"] User Profile Hive Cleanup, UPHClean, "C:\Programme\UPHClean\uphclean.exe" [MS] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Keyboard Driver Filters: ------------------------ HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\ "UpperFilters" = <<!>> "TfKbMon" ["PC Tools"] ---------- (launch time: 2007-09-26 10:55:06) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 73 seconds, including 4 seconds for message boxes) also bei eScan kam folgendes raus... hoffe hab alles richtig gemacht : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 9/24/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\spupdsvc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Eigene Dateien\Tim\downloads\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei D:\Eigene Dateien\Tim\IRC\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Standard\LOKALE~1\TEMPOR~1\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJ0Z6FOZ\RegCureSetup_1_5[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\winamp\winamp5093_lite.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 85730 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 18 Dauer des Scans bisher: 00:47:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 10:29:29,10 Batchende: 10:29:50,25 |
26.09.2007, 10:20 | #9 |
| Ich verzweifel :( blacklight: 09/26/07 10:45:07 [Info]: BlackLight Engine 1.0.64 initialized 09/26/07 10:45:07 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/26/07 10:45:07 [Note]: 7019 4 09/26/07 10:45:07 [Note]: 7005 0 09/26/07 10:45:09 [Note]: 7006 0 09/26/07 10:45:09 [Note]: 7011 1444 09/26/07 10:49:02 [Note]: 7026 0 09/26/07 10:49:02 [Note]: 7026 0 09/26/07 10:49:04 [Note]: FSRAW library version 1.7.1022 09/26/07 10:50:51 [Note]: 2000 1012 09/26/07 10:50:51 [Note]: 7007 0 silentrunner: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "(Default)" = "(empty string)" [file not found] "Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "WireLessMouse" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\MouseDrv.exe" [empty string] "WireLessKeyboard" = "C:\Programme\DS-3200 Wireless Optical Slimline Deskset\PS2USBKbdDrv.exe" [empty string] "TQ566808" = ""E:\Setup.exe"" [file not found] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "RemoteControl" = ""d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "ThreatFire" = "C:\Programme\ThreatFire\TFTray.exe" ["PC Tools"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension" -> {HKLM...CLSID} = "KodakShellExtension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "D:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] |
26.09.2007, 10:21 | #10 |
| Ich verzweifel :( Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "d:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] Kodak Camera Connection Software, KodakCCS, "C:\WINDOWS\system32\drivers\KodakCCS.exe" ["Eastman Kodak Company"] LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"] ThreatFire, ThreatFire, "C:\Programme\ThreatFire\TFService.exe service" ["PC Tools"] User Profile Hive Cleanup, UPHClean, "C:\Programme\UPHClean\uphclean.exe" [MS] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Keyboard Driver Filters: ------------------------ HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\ "UpperFilters" = <<!>> "TfKbMon" ["PC Tools"] ---------- (launch time: 2007-09-26 10:55:06) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 73 seconds, including 4 seconds for message boxes) |
26.09.2007, 10:22 | #11 |
| Ich verzweifel :( Und der letzte Teil: ----- Root ----------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\ 26.09.2007 11:03 1.006.161.920 hiberfil.sys 24.09.2007 22:23 97 23990098.$$$ 11.05.2007 10:20 211 boot.ini 14.09.2006 18:31 1.509.138.432 pagefile.sys 13.05.2006 15:46 406.244 EasyShareInstall.log 30.03.2005 20:35 97 AUTOEXEC.BAT 03.01.2005 13:42 0 IO.SYS 03.01.2005 13:42 0 MSDOS.SYS 03.01.2005 13:42 0 CONFIG.SYS 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 26.09.2002 21:48 45.972 CAMSETUI.CHM 18.08.2001 14:00 4.952 bootfont.bin 13 Datei(en) 2.516.056.673 Bytes 0 Verzeichnis(se), 13.508.730.880 Bytes frei ----- System32 ------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\WINDOWS\system32 25.09.2007 22:34 664 d3d9caps.dat 22.09.2007 18:59 2.206 wpa.dbl 30.07.2007 19:20 30.040 wuaucpl.cpl.mui 30.07.2007 19:20 30.040 wuapi.dll.mui 30.07.2007 19:19 1.712.984 wuaueng.dll 30.07.2007 19:19 549.720 wuapi.dll 30.07.2007 19:19 325.976 wucltui.dll 30.07.2007 19:19 216.408 wuaucpl.cpl 30.07.2007 19:19 203.096 wuweb.dll 30.07.2007 19:19 92.504 cdm.dll 30.07.2007 19:19 53.080 wuauclt.exe 30.07.2007 19:19 43.352 wups2.dll 30.07.2007 19:18 34.136 wucltui.dll.mui 30.07.2007 19:18 33.624 wups.dll 30.07.2007 19:18 20.824 wuaueng.dll.mui 09.07.2007 22:53 1.024 default_user_class.dat.LOG 09.07.2007 22:53 262.144 default_user_class.dat 07.07.2007 17:01 2.953 CONFIG.NT ----- Prefetch ------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\WINDOWS\Prefetch 26.09.2007 11:09 18.220 NOTEPAD.EXE-336351A9.pf 26.09.2007 11:08 8.684 MORE.COM-32DCB7E4.pf 26.09.2007 11:08 62.988 CMD.EXE-087B4001.pf 26.09.2007 11:07 29.962 WINZIP32.EXE-2F3C90C9.pf 26.09.2007 11:05 41.748 WMIPRVSE.EXE-28F301A9.pf 26.09.2007 11:05 78.250 ICQLITE.EXE-01822910.pf 26.09.2007 11:05 44.672 WUAUCLT.EXE-399A8E72.pf 26.09.2007 11:05 88.722 IEXPLORE.EXE-2CA9778D.pf 26.09.2007 11:02 35.662 SVCHOST.EXE-3530F672.pf 26.09.2007 11:02 16.552 DRWTSN32.EXE-2B4B52AC.pf 26.09.2007 11:01 30.596 DWWIN.EXE-30875ADC.pf 26.09.2007 11:01 133.168 DUMPREP.EXE-1B46F901.pf 26.09.2007 10:59 17.878 VERCLSID.EXE-3667BD89.pf 26.09.2007 10:56 68.072 EASYSHARE.EXE-04D9D20D.pf 26.09.2007 10:51 22.944 MSPAINT.EXE-11CBB631.pf 26.09.2007 10:46 57.800 NMIndexStoreSvr.exe-1DBCF9FD.pf 26.09.2007 10:44 26.250 ACRORD32INFO.EXE-30CEC19C.pf 26.09.2007 10:43 20.160 THIS.COM-0EBA78C2.pf 26.09.2007 10:30 20.074 LOGONUI.EXE-0AF22957.pf 26.09.2007 10:30 7.348 WSCNTFY.EXE-1B24F5EB.pf 25.09.2007 22:34 88.708 EXPLORER.EXE-082F38A9.pf 25.09.2007 22:34 85.980 GOOGLEEARTH.EXE-0978F2AD.pf 25.09.2007 22:13 25.856 WINWORD.EXE-39A7680E.pf 25.09.2007 22:12 71.126 MSIMN.EXE-0B61806C.pf 25.09.2007 22:07 43.024 UPDATE.EXE-13D57D76.pf 25.09.2007 22:07 13.236 PREUPD.EXE-358AA1C1.pf 25.09.2007 12:00 98.814 LOGON.SCR-151EFAEA.pf 25.09.2007 11:46 14.982 MWAVL.EXE-22EB0F08.pf 24.09.2007 22:06 79.256 RASAUTOU.EXE-18B88A68.pf 24.09.2007 21:41 78.528 WORDPAD.EXE-1EFCC5C1.pf 24.09.2007 21:33 77.052 MWAV.EXE-1804D690.pf 24.09.2007 21:25 45.244 MSHTA.EXE-331DF029.pf 24.09.2007 21:25 14.106 RUNDLL32.EXE-19F507BE.pf 24.09.2007 21:16 28.114 RUNDLL32.EXE-44A0B4BC.pf 24.09.2007 21:14 89.684 ACRORD32.EXE-0EC716D9.pf 24.09.2007 19:46 13.526 REGSVR32.EXE-25EEFE2F.pf 24.09.2007 19:46 57.650 AVGNT.EXE-36CA4640.pf 24.09.2007 19:44 18.036 SPIDER.EXE-2D998CA6.pf 24.09.2007 17:54 52.118 QUICKTIMEPLAYER.EXE-1683395B.pf 24.09.2007 17:46 124.524 AVNOTIFY.EXE-22AE9451.pf 24.09.2007 17:33 32.054 TASKMGR.EXE-20256C55.pf 24.09.2007 17:30 14.632 RUNDLL32.EXE-470F11BD.pf 24.09.2007 17:30 73.810 RUNDLL32.EXE-2576181F.pf 24.09.2007 17:30 48.614 AVSCAN.EXE-05AECC0E.pf 24.09.2007 17:30 55.390 AVCENTER.EXE-37584419.pf 24.09.2007 15:22 15.070 ALG.EXE-0F138680.pf 24.09.2007 15:22 7.542 UPHCLEAN.EXE-00BAD801.pf 24.09.2007 15:22 6.976 WDFMGR.EXE-2CF4013B.pf 24.09.2007 15:22 16.706 IMAPI.EXE-0BF740A4.pf 24.09.2007 15:22 13.684 KODAKCCS.EXE-127A2F4A.pf 24.09.2007 15:22 35.024 SCHED.EXE-236A886F.pf 24.09.2007 15:22 9.998 LSSRVC.EXE-164808EA.pf 23.09.2007 20:08 25.254 CONTROL.EXE-013DBFB5.pf 23.09.2007 20:08 33.230 RUNDLL32.EXE-1831A4F3.pf 23.09.2007 19:43 358.982 Layout.ini 23.09.2007 19:31 59.136 REALPLAY.EXE-39F79CBD.pf 23.09.2007 19:04 57.000 AVCONFIG.EXE-3B8B9C26.pf 23.09.2007 19:03 13.954 RUNDLL32.EXE-3706001F.pf 23.09.2007 19:03 19.260 RUNDLL32.EXE-327ED30F.pf 23.09.2007 19:03 17.746 RUNDLL32.EXE-29A2BA7C.pf 23.09.2007 18:45 19.464 TASKLIST.EXE-10D94B23.pf 23.09.2007 17:18 45.674 DFRGNTFS.EXE-269967DF.pf 23.09.2007 17:18 53.536 DEFRAG.EXE-273F131E.pf 19.09.2007 11:58 34.168 WINHLP32.EXE-2C18E975.pf 19.09.2007 11:55 11.820 REALSCHED.EXE-0A2A7558.pf 19.09.2007 11:54 11.064 RUNDLL32.EXE-268BFF96.pf 17.09.2007 12:40 25.302 EXCEL.EXE-050F3EE5.pf 16.09.2007 19:31 32.292 HELPHOST.EXE-247D2792.pf 16.09.2007 19:31 64.152 HELPSVC.EXE-2878DDA2.pf 16.09.2007 19:31 71.354 HELPCTR.EXE-3862B6F5.pf 16.09.2007 13:38 13.506 CALC.EXE-02CD573A.pf 16.09.2007 13:28 55.684 AVGUARD.EXE-3490B18B.pf 16.09.2007 13:28 41.398 UPDATE.EXE-0030A94A.pf 06.09.2007 16:00 44.970 HH.EXE-2D1A70B3.pf 02.09.2007 22:57 98.800 PRODUCER.EXE-00A8EE41.pf 02.09.2007 22:57 37.790 POWERDVD.EXE-22E5201F.pf 02.09.2007 19:46 14.218 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf 02.09.2007 19:46 24.006 RPHELPERAPP.EXE-1A0D7CAC.pf 02.09.2007 19:45 57.718 WMPLAYER.EXE-0996933B.pf 02.09.2007 19:44 101.696 WINAMP.EXE-065B55C4.pf 02.09.2007 19:21 60.384 NERO.EXE-2031B565.pf 02.09.2007 19:20 60.808 NEROVISION.EXE-0D954CB8.pf 02.09.2007 19:19 61.048 NEROSTARTSMART.EXE-0A488AA3.pf 02.09.2007 19:13 89.510 POWERDIRECTOR.EXE-149870E0.pf 01.09.2007 23:33 10.734 RUNDLL32.EXE-451FC2C0.pf 01.09.2007 23:30 51.600 WMPLAYER.EXE-09969332.pf 01.09.2007 18:33 13.192 RUNDLL32.EXE-3819C601.pf 01.09.2007 18:28 12.358 PDVDSERV.EXE-1330D52B.pf 01.09.2007 18:28 11.716 REGEDIT.EXE-1B606482.pf 01.09.2007 18:28 40.244 IKERNEL.EXE-092EF074.pf 01.09.2007 18:23 12.300 SETUP.EXE-20964567.pf 01.09.2007 18:22 9.292 INSTALL.EXE-0EAC8F48.pf 12.08.2007 21:41 22.512 RUNDLL32.EXE-14FC201E.pf 12.08.2007 21:41 19.580 RUNDLL32.EXE-19AB0AEF.pf 09.08.2007 19:34 26.178 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 07.08.2007 16:29 28.138 RUNDLL32.EXE-147710F4.pf 07.08.2007 16:26 31.320 MSMSGS.EXE-32066BA5.pf 06.08.2007 00:51 54.072 WMPLAYER.EXE-09969339.pf ----- Windows -------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\WINDOWS 26.09.2007 11:04 0 0.log 26.09.2007 11:04 1.307.920 WindowsUpdate.log 26.09.2007 11:04 159 wiadebug.log 26.09.2007 11:04 50 wiaservc.log 26.09.2007 11:03 54.156 QTFont.qfn 26.09.2007 11:03 2.048 bootstat.dat 26.09.2007 11:02 32.624 SchedLgU.Txt 26.09.2007 10:42 1.409 QTFont.for 25.09.2007 11:45 26 Lic.xxx 24.09.2007 21:35 499 win.ini 02.09.2007 19:46 69 NeroDigital.ini 02.09.2007 19:43 1.125 winamp.ini 01.09.2007 18:33 757.304 setupapi.log 03.08.2007 20:32 8.892 Standard8.xlb ----- Tasks ---------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\WINDOWS\tasks 26.09.2007 11:03 6 SA.DAT 21.09.2007 17:15 402 1-Klick-Wartung.job 18.08.2001 14:00 65 desktop.ini 3 Datei(en) 473 Bytes 0 Verzeichnis(se), 13.508.620.288 Bytes frei ----- Wintemp -------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\WINDOWS\temp 16.09.2007 13:25 0 Upd35.tmp 14.09.2007 19:10 0 Upd34.tmp 13.09.2007 19:10 0 Upd33.tmp 11.09.2007 18:49 0 Upd32.tmp 10.09.2007 15:56 0 Upd31.tmp 09.09.2007 13:28 0 Upd30.tmp 07.09.2007 08:35 0 Upd2F.tmp 06.09.2007 08:35 0 Upd2E.tmp 04.09.2007 20:39 0 Upd2D.tmp 03.09.2007 20:39 0 Upd2C.tmp 03.09.2007 17:54 0 Upd2B.tmp 02.09.2007 18:36 0 Upd2A.tmp 01.09.2007 18:35 0 Upd28.tmp 01.09.2007 18:17 0 Upd27.tmp 31.08.2007 09:37 0 Upd26.tmp 29.08.2007 12:11 0 Upd25.tmp 29.08.2007 10:55 0 Upd24.tmp 29.08.2007 09:33 0 Upd56.tmp 27.08.2007 18:15 0 Upd23.tmp 25.08.2007 21:49 0 Upd22.tmp 24.08.2007 19:05 0 Upd21.tmp 23.08.2007 11:01 0 Upd20.tmp 22.08.2007 10:53 0 Upd1F.tmp 20.08.2007 22:33 0 Upd1E.tmp ----- Temp ----------------------------- Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 34A2-73AB Verzeichnis von C:\DOKUME~1\Standard\LOKALE~1\Temp 26.09.2007 11:09 117.588 filelist.txt 26.09.2007 11:06 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}19396.html 26.09.2007 11:05 512 ~DF7C71.tmp 26.09.2007 11:05 16.384 ~DF7C61.tmp 26.09.2007 11:05 16.384 ~DF7C21.tmp 26.09.2007 11:05 16.384 ~DF7C01.tmp 26.09.2007 11:05 512 ~DF7C11.tmp 26.09.2007 11:05 16.384 ~DF7C41.tmp 26.09.2007 11:05 512 ~DF7C31.tmp 26.09.2007 11:05 512 ~DF7C51.tmp 26.09.2007 11:05 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}32549.html 26.09.2007 11:05 16.384 ~DF304A.tmp 26.09.2007 11:05 16.384 ~DF2AC8.tmp 26.09.2007 11:05 512 ~DF2AD8.tmp 26.09.2007 10:55 16.384 ~DF186D.tmp 26.09.2007 10:55 16.384 ~DFE79.tmp 26.09.2007 10:01 16.384 ~DFD233.tmp 26.09.2007 10:01 16.384 ~DFA978.tmp 25.09.2007 12:03 7.706.372 MWAV.LOG 25.09.2007 12:03 228.652 sfdb.dat 25.09.2007 11:45 21.435 mwXface.log 25.09.2007 11:45 1.046.078 MWAVC.LOG 24.09.2007 21:35 1.174 Download.log 24.09.2007 21:35 0 filelist.lst 24.09.2007 21:35 0 download.lck 24.09.2007 21:35 360 EUpdate.ini 24.09.2007 21:34 626.688 msvcr80.dll 24.09.2007 21:34 548.864 msvcp80.dll 24.09.2007 21:34 241.664 MYDB.DLL 24.09.2007 17:55 16.384 ~DFAB9B.tmp 24.09.2007 17:55 16.384 ~DFA69C.tmp 24.09.2007 17:30 832 PrePict.htm 24.09.2007 17:01 16.384 ~DF501E.tmp 24.09.2007 17:01 16.384 ~DF503D.tmp 24.09.2007 17:01 16.384 ~DF5000.tmp 24.09.2007 17:01 16.384 ~DF4FCC.tmp 24.09.2007 17:01 16.384 ~DFC5EF.tmp 24.09.2007 17:01 16.384 ~DF99CA.tmp 24.09.2007 12:03 34.523 fa.avc 24.09.2007 12:03 22.105 ext009.avc 24.09.2007 12:03 27.028 avp.klb 24.09.2007 12:03 1.850 daily-ex.avx 24.09.2007 12:03 21.012 unp039.avc 24.09.2007 12:03 1.850 daily-ex.avc 24.09.2007 12:03 39.163 daily.avc 24.09.2007 12:03 745 daily-ec.avc 24.09.2007 12:03 50.225 base150.avc 24.09.2007 12:03 64.412 base152.avc 24.09.2007 12:03 179.562 base049c.avc 24.09.2007 12:03 10.886 ext005c.avc 24.09.2007 12:03 2.893 dailyc.avc 24.09.2007 12:03 26.000 fa001.avc 24.09.2007 11:49 250.306 spydb.avs 24.09.2007 11:49 1.235.232 File2.sdb 24.09.2007 11:49 161.174 Spyware.sdb 24.09.2007 11:49 2.068.971 File1.sdb 24.09.2007 11:49 250.306 spydb.old 24.09.2007 11:49 1.269.743 Cid.sdb 24.09.2007 11:49 726.362 Dir.sdb 23.09.2007 19:26 16.384 ~DF3131.tmp 23.09.2007 18:54 16.384 ~DF75.tmp 23.09.2007 18:54 16.384 ~DFF909.tmp 23.09.2007 16:53 12.480 java_install_reg.log 22.09.2007 21:18 204.087 phupdn.txt 22.09.2007 21:04 18.427 global.daz 22.09.2007 21:04 59.966 phupdn.txz 21.09.2007 17:08 11.209 English.con 21.09.2007 14:17 90.996 Chinese.Age 21.09.2007 14:17 4.225 Chinese.dow 21.09.2007 14:17 110.439 Icelandic.Age 21.09.2007 14:17 5.326 Icelandic.dow 21.09.2007 14:17 115.349 Polish.Age 21.09.2007 14:17 112.207 Finnish.Age 21.09.2007 14:17 5.595 Finnish.dow 21.09.2007 14:17 6.227 Polish.dow 21.09.2007 14:17 116.504 French.Age 21.09.2007 14:17 6.105 French.dow 21.09.2007 14:17 115.397 Spanish.Age 21.09.2007 14:17 5.757 Spanish.dow 21.09.2007 14:17 116.118 Spanishl.Age 21.09.2007 14:17 6.124 Spanishl.dow 21.09.2007 14:17 111.149 Romanian.Age 21.09.2007 14:17 5.659 Romanian.dow 21.09.2007 14:17 124.130 Portuguese.Age 21.09.2007 14:17 6.048 Portuguese.dow 21.09.2007 14:17 122.760 Italian.Age 21.09.2007 14:17 5.681 Italian.dow 21.09.2007 14:17 125.547 German.Age 21.09.2007 14:17 125.547 language.ini 21.09.2007 14:17 5.812 Download.lan 21.09.2007 14:17 5.812 German.dow 21.09.2007 14:08 47.884 unp037.avc 21.09.2007 10:29 120.953 krnunp.avc 20.09.2007 15:51 500.736 Download.exe 20.09.2007 15:51 5.316 English.dow 19.09.2007 15:14 53.948 base144.avc 19.09.2007 15:14 49.931 base110.avc 19.09.2007 15:14 39.794 krn004.avc 18.09.2007 14:49 167.936 esupdate.exe 18.09.2007 14:49 56.320 reload.exe 18.09.2007 14:00 122.880 avpmhook.dll 18.09.2007 13:39 38.912 unregx.exe 18.09.2007 13:29 1.949.696 msvl64.dll 18.09.2007 13:25 43.520 setpriv.exe 18.09.2007 13:25 430.144 mexe.com 18.09.2007 13:25 430.144 mwavscan.com 18.09.2007 13:23 143.360 msvlclnt.dll 18.09.2007 13:19 44.608 Getvlist.exe 17.09.2007 18:53 48.406 base016.avc 17.09.2007 18:31 15.148 config.lan 17.09.2007 18:31 15.148 German.con 17.09.2007 09:43 50.068 base151.avc 16.09.2007 17:22 46.514 unp001.avc 16.09.2007 17:22 49.897 base037c.avc 16.09.2007 17:22 50.286 base006c.avc 16.09.2007 12:17 732 esupd.ini 14.09.2007 19:41 53.712 be7d_appcompat.txt 14.09.2007 17:18 51.867 English.Age 13.09.2007 20:29 385.024 MDownload.exe 13.09.2007 10:03 49.959 base141.avc 13.09.2007 10:03 50.325 base012c.avc 12.09.2007 18:49 48.224 unp038.avc 11.09.2007 11:49 44.526 base048c.avc 11.09.2007 11:49 46.875 ext004c.avc 10.09.2007 23:33 3.756 avp_x.set 10.09.2007 23:33 3.756 avp.set 10.09.2007 23:33 3.756 avp_ext.set 10.09.2007 21:10 78.810 ca.avc 07.09.2007 13:05 48.722 unp034.avc 07.09.2007 13:05 48.948 unp030.avc 07.09.2007 13:05 48.418 ext002c.avc 07.09.2007 13:05 50.057 base046c.avc 07.09.2007 13:05 49.974 base047c.avc 07.09.2007 13:05 50.058 base045c.avc 06.09.2007 16:00 798.234 IMT3.xml 06.09.2007 16:00 426 IMT2.xml 06.09.2007 16:00 2.036 IMT1.xml 05.09.2007 09:54 65.394 unp035.avc 05.09.2007 09:54 48.871 base091.avc 05.09.2007 09:54 50.807 unp005.avc 05.09.2007 09:54 49.316 base055.avc 05.09.2007 09:54 49.223 base037.avc 05.09.2007 09:54 49.107 base059.avc 05.09.2007 09:54 48.882 base011.avc 05.09.2007 09:54 48.563 base010.avc 05.09.2007 09:54 50.070 base044c.avc 05.09.2007 09:54 32.013 krnexe.avc 04.09.2007 17:30 14.400 faristream.ppl 04.09.2007 17:30 14.912 farbuffer.ppl 04.09.2007 17:29 135.168 ScanningProcess.exe 04.09.2007 17:29 65.536 ikave.dll 04.09.2007 17:28 274.432 kave.dll 03.09.2007 12:28 48.186 unp033.avc 03.09.2007 12:28 42.227 unp032.avc 03.09.2007 12:28 49.035 base149.avc 03.09.2007 12:28 50.048 base041c.avc 03.09.2007 12:28 49.807 base042c.avc 03.09.2007 12:28 49.886 base040c.avc 03.09.2007 12:28 50.067 base043c.avc 03.09.2007 12:28 50.091 base038c.avc 03.09.2007 12:28 49.954 base039c.avc 03.09.2007 12:28 11.542 ocr.avc 03.09.2007 09:48 1.132 01FA0F93.key 02.09.2007 19:54 0 ~fn3B.tmp 02.09.2007 19:48 0 ~fn3A.tmp 02.09.2007 19:40 0 ~fn39.tmp 31.08.2007 10:15 78.840 krnexe32.avc 29.08.2007 10:26 29.901 gen001.avc 29.08.2007 10:26 49.792 base113.avc 29.08.2007 10:26 48.775 base006.avc 29.08.2007 10:26 48.999 base008.avc 29.08.2007 10:26 49.810 base069.avc 29.08.2007 10:26 72.335 krn001.avc 29.08.2007 10:26 153.274 krnmacro.avc 29.08.2007 10:26 12.807 kernel.avc 28.08.2007 10:06 63.767 unp023.avc 28.08.2007 10:06 23.927 unp021.avc 28.08.2007 10:06 25.749 unp004.avc 28.08.2007 10:06 49.692 base111.avc 28.08.2007 10:06 49.848 base052.avc 28.08.2007 10:06 49.623 base024.avc 28.08.2007 10:06 49.846 base049.avc 28.08.2007 10:06 49.114 base004.avc 28.08.2007 10:06 48.023 base002.avc 28.08.2007 10:06 49.800 base015c.avc 27.08.2007 18:15 512 ~DFE372.tmp 27.08.2007 18:15 512 ~DFE390.tmp 27.08.2007 18:15 16.384 ~DFE381.tmp 27.08.2007 18:15 16.384 ~DFE360.tmp 27.08.2007 18:15 512 ~DFE351.tmp 27.08.2007 18:15 512 ~DFE333.tmp 27.08.2007 18:15 16.384 ~DFE30F.tmp 27.08.2007 18:15 16.384 ~DFE342.tmp 27.08.2007 18:14 16.384 ~DFF577.tmp 27.08.2007 18:14 512 ~DFDA88.tmp 27.08.2007 18:14 16.384 ~DFDA79.tmp 26.08.2007 18:13 69.675 unp002.avc 26.08.2007 18:13 31.653 unp017.avc 26.08.2007 18:13 49.170 base099.avc |
26.09.2007, 12:58 | #12 |
> MalwareDB | Ich verzweifel :( Wenn ich nix überlesen hab, finde ich nix, auf Verdacht hin bitte ich Dich noch zwei Tools laufen zu lassen. Lade KHS http://dondie.de/dbdats/tools/KHS.exe Poste das Ergebnis. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Wenn Dann nix rauskomm tipp ich auf einen Hardwarefehler.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
26.09.2007, 20:32 | #13 |
| Ich verzweifel :( ok werd ich tun. Danke noch mal. Was mich nur ein bisschen stuzig macht is: Gescannte Dateien: 85730 Gefundene Viren: 5 ??? hab täglich antivirusprogramm laufen lassen... kann es auch schon daran liegen ? |
27.09.2007, 22:34 | #14 |
> MalwareDB | Ich verzweifel :( Was vestehst Du nicht? Ich versteh Dich nicht.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
28.09.2007, 09:59 | #15 |
| Ich verzweifel :( Naja, ich hab jedenTag Antivirusprogramm durchlaufen lassen aber nie was gefunden. Und escan findet auf einmal 5... Kann es sein, dass die Netzwerkkarte hops is ? Oder würde der dann gar nitmehr ins netz kommen ? |
Themen zu Ich verzweifel :( |
antivir, beendet, beitrag, bli, blinkt, fehlermeldung, festgestellt, forum, helfen, helft, heute, langsam, min, modem, neu, nicht mehr, nichts, problem, process, rechner, services, starten., svchost.exe, update, win, win32, windows |