Ie Explorer / öffnet Von Selbst Werbesiten Banner

gala86 · 17.12.2007, 22:04

Hallo

bin nicht grad der große experter, seit einigen tagen öffnen sich automatisch werbeseiten(casino kataloge flirtseiten meisten)

woran kann es liegen, habe auch schonmal das programm adware laufen lassen aber hat sich nichts geändert.

kannm mir jemand helfen

hier ist der hijack scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:34, on 17.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {9C8A568E-4201-478a-8536-526CF371D2E2} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {41C29B07-6F91-4966-91BE-2E2841643C83} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe" dm=http://festplattencleaner.com; ad=http://festplattencleaner.com
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\FESTPL~1\ucookw.exe" -start
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\Online About.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 9616 bytes

myrtille · 18.12.2007, 10:30

Hi,
du hast da nicht nur ein Problem, sondern gleich mehrere.

Dann wollen wir mal sehen, wie wir das ganze wieder in den Griff bekommen.
Ich denke mal, dass keiner dieser Einträge dir bekannt sein dürften, oder sind da Programme dabei, die du selbst installiert hast?

Zitat:

O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O3 - Toolbar: (no name) - {41C29B07-6F91-4966-91BE-2E2841643C83} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe" dm=http://festplattencleaner.com; ad=http://festplattencleaner.com
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\FESTPL~1\ucookw.exe" -start
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\Online About.exe
O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe

Wenn dir die Sachen unbekannt sind, dann lass bitte folgende Dateien mal bei virustotal auswerten:
C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe

Lass bitte auch folgendes Programm laufen:
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Erstelle außerdem bitte noch ein Hijackthislog, nachdem du die Hijackthis.exe in abc.exe umbenannt hast.

lg myrtille

gala86 · 18.12.2007, 15:42

hallo

meine leine schweser war am pc und seit dem habe ich die probleme, wäre echt nett wenn du helfen könntest.

ich hoffe ich habe es richtig gemacht:

SmitFraudFix v2.261

Scan done at 15:37:47,87, 18.12.2007
Run from C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\serdar

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\serdar\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\serdar\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{10A7330B-0B90-43D4-A820-169473C05D71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{10A7330B-0B90-43D4-A820-169473C05D71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{10A7330B-0B90-43D4-A820-169473C05D71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:34, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {41C29B07-6F91-4966-91BE-2E2841643C83} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe" dm=http://festplattencleaner.com; ad=http://festplattencleaner.com
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Cookies.bat.txt
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 8562 bytes

myrtille · 18.12.2007, 20:46

Hole das bitte noch nach:

Zitat:

Zitat von myrtille

dann lass bitte folgende Dateien mal bei vt auswerten:
C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe

und lass die Datei auch bei: hier auswerten.

Dann fangen wir mal mit der Bereinigung an:
Um folgenden Eintrag loszuwerden:

Zitat:

O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe

folgst du bitte folgender Anleitung:klick

Für die weiteren Schritte würde ich gern die Auswertung bei jotti abwarten.

lg myrtille

gala86 · 18.12.2007, 22:21

hallo

kann es sein das ich die probleme wegen diesem MSNPLUS bekommen habe was meine schwester installiert hatte, habe es wieder deinstalliert.

ich habe FESTPLATTENCLEANER gelöscht und finde dehalb C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe

nicht mehr, kann ich das irgendwie wiederherstellen, im papierkorb ist es nicht mehr.

haben den anderen schritt wie beschrieben durchgeführt und das ist jetzt der neu scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:51, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {41C29B07-6F91-4966-91BE-2E2841643C83} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe" dm=http://festplattencleaner.com; ad=http://festplattencleaner.com
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 8355 bytes

gala86 · 18.12.2007, 22:32

wenn ich auf C:\WINDOWS gehe dann sind ganz viele ordner die farblich ausgeblendet erscheinen mit solchen ordnernamen wie z.b:

$hf_mig$

$NtUninstallKB899591$

$NtUninstallKB911567$

$NtUninstallKB939653_0$

was beinhalten diese dateien, müssen sie gelöscht werden?

danke dir schonmal für deine hanze hilfe

myrtille · 18.12.2007, 22:39

Ja, könnte durchaus sein. Swizzor kommt gern mit solchen Sachen...

Wenn du schon Dateien gelöscht hast, dann mache jetzt Folgendes:

gehe unter Start->Systemsteuerung->Software und schaue ob dort dir unbekannte Programme gelistet sind (insbesondere dieses Festplattenscanding). Deinstalliere dir unbekannte Programme und lösche die Ordner. Wenn du dir bei einem (oder mehreren) Programm nicht sicher bis, dann frag hier nochmal nach. Gib mir am schluss bitte eine liste der gelöschten Programme.

Dann starte im abgesicherten Modus und lösche folgende Dateien:

Zitat:

C:\WINDOWS\system32\gzmrt.
C:\WINDOWS\system32\dxdiag.dll

Danach rufst du HijackThis auf und fixt folgende Zeilen:

Zitat:

O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O3 - Toolbar: (no name) - {41C29B07-6F91-4966-91BE-2E2841643C83} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\FestPlattenCleaner\strpmon.exe" dm=http://festplattencleaner.com; ad=http://festplattencleaner.com
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKCU\..\Run: [ENCREF] C:\DOKUME~1\serdar\ANWEND~1\ROAMBO~1\Axis Browse.exe

Danach würde ich dich bitten wieder im normalen Modus zu starten und zur Übersicht noch einen Scan mit eScan zu machen und das Ergebnis der find.bat hier zu posten. (eScan findet immer etwas, nur sind das nicht unbedingt Viren, also nicht ohne meinen Bestätigung löschen)
Erstelle bitte auch nochmal ein Hijackthislog.
lg myrtille

gala86 · 19.12.2007, 18:18

hallo

bringt es eigentlich was wenn ich sytemwiederherstellung deaktiviere neustarte und dann wieder aktiviere, gehn dadurch dateien verloren??

es wird bei antivir oder jetzt bei escan oft C:/System volume information..... als virus gefunden angezeigt jedoch finde ich diesen ordner überhaupt nicht.

gelöscht bzw. deinstalliert habe ich programme wie FESTPLATTENCLEANER, ALFONS LERNWELT, MSNPLUS, WINWOS LIVE MESSENGER, IMAGEMIXER, ANGELWRITER, ARCSOFT VIDEOIMPRESSION, XMPEG

diese programme sind auch installiert aber ich kenne diese nicht:
opensource flashvideo player, aopen multimedia utlities, MSXML 4.0 SP2

habe die beiden datein dxdiag und gzmrt im abgesicherten modus gelöscht und danach mit HijackThis fix chek durchgeführt bei den dateien die du angegeben hast und auch mit eacan und HijackThis gescannt.

ESCAN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/19/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\serdar\Shared\06 Track 6.wma infiziert von "Trojan-Downloader.WMA.Wimad.l" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\serdar\Shared\cankan-yaranamadim.wm infiziert von "Trojan-Downloader.WMA.Wimad.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\serdar\Shared\Eighties classic.wma infiziert von "Trojan-Downloader.WMA.Wimad.l" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\serdar\Shared\eker bruder.wm infiziert von "Trojan-Downloader.WMA.Wimad.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\serdar\Shared\eker brueder.wm infiziert von "Trojan-Downloader.WMA.Wimad.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\serdar\Shared\grup as.wm infiziert von "Trojan-Downloader.WMA.Wimad.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\NPROTECT\00243671.WMA infiziert von "Trojan-Downloader.WMA.Wimad.l" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Sicherung\VILDAN\VILDAN MUSIK\BÜTÜN MUSIKLERIM\Neuer Ordner\ötzi cd\gökce\gokce.wm infiziert von "Trojan-Downloader.WMA.Wimad.m" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Shared\husnu senlendirici ah istanbul (uncensored).zip/setup.exe//data0009//stream//data0004//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.lr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\NPROTECT\00243682.DLL//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.lr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0135941.exe markiert als "not-a-virus:AdTool.Win32.WhenU.s". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0135942.dll markiert als "not-a-virus:AdTool.Win32.WhenU.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0136082.exe//PE_Patch markiert als "not-a-virus:FraudTool.Win32.SysKontroller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0136083.exe//PE_Patch markiert als "not-a-virus:FraudTool.Win32.SysKontroller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP572\A0140523.exe markiert als "not-a-virus

ownloader.Win32.WinFixer.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Favoriten\links\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Samsung\Samsung PC Studio 3\Update\ConWiz.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 152488
Gefundene Viren: 29
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 597
Dauer des Scans bisher: 02:04:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:13:45,35
Batchende: 18:14:29,25

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:02, on 19.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 7653 bytes

myrtille · 20.12.2007, 18:57

Hi, sorry dass du solange warten musstest.

Also msxml gehört zu windows: klick.
Ob du das zwingend brauchst kann ich dir allerdings nicht sagen, es kann durchaus sein, dass ein weiteres installiertes Programm das benötigt.
opensource flashvideo player kenne ich persönlich nicht. Kann ich nicht viel zu sagen, hab aber im Web erstmal keine negativen Bewertungen gefunden.
Aopen scheint auch "in Ordnung" zu sein.

Also ich denke mal, dass das alles keine Malware ist. Anders ist das mit den Dateien, die eScan listet.
Lass bitte mal eine der "Infected files" bei Virustotal auswerten und psote das Ergebnis hier.
Danach löschst du am besten folgende Dateien:

Zitat:

Datei C:\Dokumente und Einstellungen\serdar\Shared\06 Track 6.wma
C:\Dokumente und Einstellungen\serdar\Shared\cankan-yaranamadim.wm C:\Dokumente und Einstellungen\serdar\Shared\Eighties classic.wma
C:\Dokumente und Einstellungen\serdar\Shared\eker bruder.wm
C:\Dokumente und Einstellungen\serdar\Shared\eker brueder.wm
C:\Dokumente und Einstellungen\serdar\Shared\grup as.wm
C:\RECYCLER\NPROTECT\00243671.WMA
D:\Sicherung\VILDAN\VILDAN MUSIK\BÜTÜN MUSIKLERIM\Neuer Ordner\ötzi cd\gökce\gokce.wm
C:\Dokumente und Einstellungen\serdar\Shared\husnu senlendirici ah istanbul (uncensored).zip/setup.exe//data0009//stream//data0004//PE_Patch.UPX//UPX C:\RECYCLER\NPROTECT\00243682.DLL//PE_Patch.UPX//UPX

Am besten deaktivierst du auch einmal die Systemwiederherstellung.
Die Systemwiederherstellung speichert die Konfiguration zu verschiedenen Zeitpunkt, sodass du ehemalige Konfigurationen auswählen kannst, wenn du etwas rückgängig machen willst. Wenn du sie jetzt deaktivierst gehen diese Punkte verloren, da du aber kein sauberes System hast, würdest du mir mit solch einer rückgängig Machung die BHOs wieder aufn Rechner holen, weshalb es sinnvoll ist die Systemwiederherstellung zu deaktieren, einmal runterzufahren, kurz auslassen, danach kannste wieder hochfahren und die Systemwiederherstellung auch wieder aktivieren, wenn du sie nutzen willst.

Folgende Einträge im HJT-Log bitte noch fixen:

Zitat:

O2 - BHO: (no name) - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - (no file)
C:\WINDOWS\system32\dxdiag.dll (file missing)

Erstelle danach nochmal nen Logfile von HijackThis und eScan um sicherzugehen, dass auch alles weg ist und dann solltest du sauber sein.
Kommen denn die Pop-ups noch? Irgendwelche anderen Beschwerden mit dem Rechner?

lg myrtille

gala86 · 20.12.2007, 22:40

Hallo

Die Werbeseiten kommen jetzt nicht mehr zum glück, soweit habe ich keine anderen Problememit dem PC, nur ab und an bleibt der Internet Explorer hängen und schließt von selbst.

Das mit der Sytemwiederherstellung habe ich nicht so genau verstanden, soll ich jetzt Systemwiederherstellung deaktivieren und dann nach Neustart wieder aktivieren?? Kann das auch negativ ausfallen? Was genau bewirkt das.

Also die Datei: C:\RECYCLER\NPROTECT\00243682.DLL//PE_Patch.UPX//UPX kann ich nicht öffnen und wenn auf Laufwerk C gehe wird dieser Ordner auch gar nicht angezeigt, wieso?

Genauso finde ich den Ordner C:/System Volume Information…….. auch nicht auf Laufwerk C

Die Dateihabe ich mit HijackThis versucht zu fixen doch es wird nicht gefixt und die datei bleibt bestehen: O2 - BHO: (no name) - {10F3E8BD-257A-4702-A2F5-DC02055B068C} -(no file)C:\WINDOWS\system32\dxdiag.dll (file missing)

Hier habe ich 2 der Dateien bei virustotal gescannt und die anderen Dateien gelöscht:

Datei grup_as.wm empfangen 2007.12.20 19:12:14 (CET)
Status: Beendet
Ergebnis: 4/32 (12.5%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 TR/Dldr.WMA.Wimad.A
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 Trojan-Downloader.WMA.Wimad.m
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 Trojan-Downloader.WMA.Wimad.m
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2738 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 Trojan.Dldr.WMA.Wimad.A
weitere Informationen
File size: 37276 bytes
MD5: 1e7a68b2390f3c457934f9684c9ab3fd
SHA1: 1abc29512c419d5213e47f732f705408d0165950
PEiD: -

Datei Eighties_classic.wma empfangen 2007.12.20 19:24:15 (CET)
Status: Beendet
Ergebnis: 3/32 (9.38%)
Filter
Drucken der Ergebnisse
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 Trojan-Downloader.WMA.Wimad.l
Ikarus T3.1.1.15 2007.12.20 Trojan-Downloader.WMA.Wimad.l
Kaspersky 7.0.0.125 2007.12.20 Trojan-Downloader.WMA.Wimad.l
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -
weitere Informationen
File size: 2933856 bytes
MD5: b3b9cbf43f6421cd8e672a9ba65c444b
SHA1: 2131279c3c427fa63a38e5cb79b7207e907f1e52
PEiD: -

ESCAN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\serdar\Shared\Eighties classic.wma infiziert von "Trojan-Downloader.WMA.Wimad.l" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\NPROTECT\00243671.WMA infiziert von "Trojan-Downloader.WMA.Wimad.l" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\serdar\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\NPROTECT\00243682.DLL//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.lr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0135941.exe markiert als "not-a-virus:AdTool.Win32.WhenU.s". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0135942.dll markiert als "not-a-virus:AdTool.Win32.WhenU.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0136082.exe//PE_Patch markiert als "not-a-virus:FraudTool.Win32.SysKontroller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP537\A0136083.exe//PE_Patch markiert als "not-a-virus:FraudTool.Win32.SysKontroller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1D91B576-E3E9-41AA-B6BF-F0BD2CDDEFB7}\RP572\A0140523.exe markiert als "not-a-virus

ownloader.Win32.WinFixer.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\serdar\Favoriten\links\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Samsung\Samsung PC Studio 3\Update\ConWiz.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 158462
Gefundene Viren: 22
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 598
Dauer des Scans bisher: 01:57:09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:32:10,80
Batchende: 22:33:45,13

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:04, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOKUME~1\serdar\LOKALE~1\Temp\mexe.com
C:\WINDOWS\system32\notepad.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 7707 bytes

myrtille · 20.12.2007, 23:07

Sorry, das hätte ich vielleicht dazu sagen sollen.

C:\Receycler ist dein Papierkorb, also den einfach mal leeren und schauen ob die Datei dann auch verschwindet.

Der Ordner "System Volume Information" gehört zur Systemwiederherstellung, wenn du den Ordner komplett leeren willst, dann stelle die Systemwiederherstellung unter Start->Systemsteuerung->System->Systemwiederherstellung aus und fahre den Rechner herunter. Wenn du ihn nach einer kurzen Auszeit wieder anschaltest sollte alles in dem Ordner gelöscht worden sein.
Wenn du die Systemwiederherstellung noch nie benutzt hast/nicht benutzt hat es keine Auswirkung für dich. Wenn du sie doch benutzt, dann kannst du kein Datum mehr auswählen, dass früher als heute ist.
Ich würde dir nicht empfehlen die Dateien einzeln löschen zu wollen (geht von Hand auch nicht), wenn du allerdings darauf bestehst, guck ich mich mal nach was um.

Da sich der Eintrag mit dxdiag.dll so hartnäckig hält, würde ich dich bitten noch folgendes Log zu erstellen:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

lg myrtille

gala86 · 21.12.2007, 12:25

also das mit der sytemwiederherstellung lass ich ersteinmal, wenn du etwas kennst wo mit wir es mit der hand löschen können wäre es gut.

1. Lade das filelist.zip auf deinen Desktop herunter

das habe ich gemacht und jetzt ist auf dem desktop ZIP komprimieter ordner

2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei

ich weiss nicht was ich hier bei punkt 2 machen soll, da ich WINZIP gar nicht auf dem pc habe und nicht weiss wie es entpackt wird.

und könntest du punkt 3 oder 4 auch etwas beschreiben damit ich es 100% richtig mache.

danke im vorraus

myrtille · 21.12.2007, 14:56

Hi,
womit dekomprimierst du denn sonst deine ZIP-Ordner?

Wie hast du zb diesen Ordner geöffnet: C:\Dokumente und Einstellungen\serdar\Shared\husnu senlendirici ah istanbul (uncensored).zip?

Eigentlich ist es egal, mit welchem Programm du die Datei extrahierst, du kannst dafür zb auch Winrar nstallieren und benutzen. (Der Link führt zu einer Sharewareversion, die nur 40 Tage gültig ist)

Bei Punkt 3 kannst du nichts falsch machen: Das wird von der filelist.bat übernommen.
Bei Punkt 4 erhältst du ein Log, das so ähnlich aussieht wie hier, nur länger. Ganz links steht das Datum zur jeweiligen Datei. Wenn das Datum älter als 1 Monat ist (20.11.07) dann löschst du den Eintrag einfach.
Wenn du alle alten Einträge entfernt hast, kopierst du den Inhalt des Editors ab (reinklicken, dann strg+A, dann strg+C. In die Antwort hier im klicken und dort Strg+V drücken) und postest deine Antwort.

lg myrtille

EDIT:
Ich habe mich eben mal informiert: Sinnvoll die Rechte für die Systemwiederherstellung bekommen, kann man nur mit der Kommandozeile, was ehrlich gesagt sehr kompliziert ist und ich dir eher nicht zumuten möchte.
Was genau spricht denn gegen die Deaktivierung der Systemwiederherstellung?
Wie häufig benutzt du sie? Wofür würdest du sie brauchen?

gala86 · 21.12.2007, 18:34

hallo

Was genau spricht denn gegen die Deaktivierung der Systemwiederherstellung? mir ist immer noch nicht klar was dann genau passiert
Wie häufig benutzt du sie? Wofür würdest du sie brauchen?
meinst du damit die systemwiederherstellung, wenn ja dann keine ahnung ob ich sie pberhaupt benutze und wofür ich die brauche.

habe das jetzt hoffentlich hinbekommen mit dem zip ordner, hier das ergebniss:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\

21.12.2007 14:19 805.306.368 pagefile.sys
21.12.2007 14:18 211 boot.ini
20.12.2007 21:38 0 23990098.$$$
18.12.2007 15:38 4.066 rapport.txt
13 Datei(en) 805.714.848 Bytes
0 Verzeichnis(se), 13.657.436.160 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\WINDOWS\system32

21.12.2007 14:20 2.206 wpa.dbl
19.12.2007 15:17 40.737 rightonadz-uninst.exe
18.12.2007 15:37 0 tmp.txt
18.12.2007 15:37 1.924 tmp.reg
13.12.2007 21:31 664 d3d9caps.dat
13.12.2007 10:53 387.268 TZLog.log
12.12.2007 17:34 383.254 perfh009.dat
12.12.2007 17:34 53.608 perfc009.dat
12.12.2007 17:34 394.510 perfh007.dat
12.12.2007 17:34 64.590 perfc007.dat
12.12.2007 17:34 899.052 PerfStringBackup.INI
11.12.2007 10:40 282.128 FNTCACHE.DAT
03.12.2007 00:00 18.684.536 MRT.exe
20.11.2007 17:27 50 bridf05a.dat
2091 Datei(en) 397.561.560 Bytes
0 Verzeichnis(se), 13.657.296.896 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\WINDOWS\Prefetch

21.12.2007 18:19 11.844 FIND.EXE-0EC32F1E.pf
21.12.2007 18:19 30.760 CMD.EXE-087B4001.pf
21.12.2007 18:18 17.584 EXPLORER.EXE-082F38A9.pf
21.12.2007 18:00 86.870 IEXPLORE.EXE-2CA9778D.pf
21.12.2007 18:00 57.270 MOVE TEAM FLAP.EXE-3ACFEC20.pf
21.12.2007 17:45 31.264 WLLOGINPROXY.EXE-33926225.pf
21.12.2007 17:45 29.178 RUNDLL32.EXE-392C28A6.pf
21.12.2007 17:36 51.520 AUDIR8~1.SCR-0B076C2E.pf
21.12.2007 17:34 33.738 WUAUCLT.EXE-399A8E72.pf
21.12.2007 16:26 29.678 RUNDLL32.EXE-2DDD6392.pf
21.12.2007 16:26 15.682 VERCLSID.EXE-3667BD89.pf
21.12.2007 15:56 87.404 DFRGNTFS.EXE-269967DF.pf
21.12.2007 15:55 16.616 DEFRAG.EXE-273F131E.pf
21.12.2007 15:55 414.884 Layout.ini
21.12.2007 15:38 29.118 RUNDLL32.EXE-20F5B5AE.pf
21.12.2007 15:16 29.162 RUNDLL32.EXE-3C1F2A22.pf
21.12.2007 15:10 25.280 DESSER~1.EXE-0CDFD51E.pf
21.12.2007 15:07 61.880 NOTEPAD.EXE-336351A9.pf
21.12.2007 14:59 139.138 WINWORD.EXE-0B995611.pf
21.12.2007 14:58 64.262 EXCEL.EXE-3AB61D88.pf
21.12.2007 14:58 58.962 ACRORD32INFO.EXE-30CEC19C.pf
21.12.2007 14:42 14.868 BRMFCWND.EXE-369A8D07.pf
21.12.2007 14:42 82.000 SOFFICE.BIN-3623E896.pf
21.12.2007 14:42 10.156 SOFFICE.EXE-0278B3B6.pf
21.12.2007 14:42 10.146 SWRITER.EXE-3AF71A7C.pf
21.12.2007 14:41 14.654 RUNDLL32.EXE-12CA3FB5.pf
21.12.2007 14:40 14.524 RUNDLL32.EXE-4845D6CF.pf
21.12.2007 14:29 28.978 RUNDLL32.EXE-11A69E93.pf
21.12.2007 14:27 29.038 RUNDLL32.EXE-27FDD611.pf
21.12.2007 14:21 1.022.642 NTOSBOOT-B00DFAAD.pf
21.12.2007 14:10 22.950 MSCONFIG.EXE-35E4DAE9.pf
21.12.2007 14:10 100.538 WMIPRVSE.EXE-28F301A9.pf
21.12.2007 14:10 23.844 HIJACKTHIS.EXE-39024128.pf
21.12.2007 12:19 33.916 RUNDLL32.EXE-429689D3.pf
21.12.2007 12:17 110.894 REALPLAY.EXE-39F79CBD.pf
21.12.2007 12:17 11.752 REALSCHED.EXE-0A2A7558.pf
21.12.2007 12:11 62.756 RSTRUI.EXE-03C49A96.pf
21.12.2007 12:07 29.142 RUNDLL32.EXE-4CF37596.pf
21.12.2007 11:52 29.842 RUNDLL32.EXE-4291C7C8.pf
20.12.2007 23:17 29.258 RUNDLL32.EXE-33861CB9.pf
20.12.2007 23:05 64.684 GOOGLEEARTH.EXE-0978F2AD.pf
20.12.2007 22:59 28.960 RUNDLL32.EXE-23CF60D3.pf
20.12.2007 22:51 29.480 RUNDLL32.EXE-4304189D.pf
20.12.2007 22:36 14.752 NOTEPAD.EXE-189578DA.pf
20.12.2007 22:33 11.578 REG.EXE-0D2A95F7.pf
20.12.2007 22:33 12.214 FINDSTR.EXE-0CA6274B.pf
20.12.2007 22:33 9.316 MORE.COM-32DCB7E4.pf
20.12.2007 21:21 61.094 HELPSVC.EXE-2878DDA2.pf
20.12.2007 20:14 76.156 WORDPAD.EXE-1EFCC5C1.pf
20.12.2007 20:14 14.880 RUNDLL32.EXE-21593C5E.pf
20.12.2007 19:39 17.902 DOWNLOAD.EXE-0ED398C8.pf
20.12.2007 19:39 16.582 MWAVL.EXE-0622EB8A.pf
20.12.2007 19:39 52.100 SCANNINGPROCESS.EXE-335823A9.pf
20.12.2007 19:39 49.158 MEXE.COM-18DF0294.pf
20.12.2007 19:38 63.992 MWAV[1].EXE-2D806EDE.pf
20.12.2007 19:36 29.078 RUNDLL32.EXE-41544078.pf
20.12.2007 19:35 75.166 DUMPREP.EXE-1B46F901.pf
20.12.2007 19:35 24.242 DWWIN.EXE-30875ADC.pf
20.12.2007 19:35 17.556 TASKMGR.EXE-20256C55.pf
20.12.2007 19:18 29.542 RUNDLL32.EXE-44A0B4BC.pf
20.12.2007 19:08 36.066 RUNDLL32.EXE-47AEE954.pf
20.12.2007 18:59 32.428 REGSVR32.EXE-25EEFE2F.pf
20.12.2007 18:59 22.108 AVGNT.EXE-18356F59.pf
20.12.2007 18:50 8.568 UPDATE.EXE-3A80F1D2.pf
20.12.2007 18:49 11.184 PREUPD.EXE-18CBCD87.pf
20.12.2007 16:33 31.928 RUNDLL32.EXE-31A3B87F.pf
20.12.2007 16:33 26.786 BIET-O-MATIC.EXE-32357178.pf
20.12.2007 16:10 29.264 RUNDLL32.EXE-1939A6F6.pf
20.12.2007 15:23 13.934 BOM241_SETUP[1].EXE-0A17A498.pf
20.12.2007 15:21 43.018 BIET-O-MATIC.EXE-0EA8109A.pf
20.12.2007 15:20 26.000 BOMUPDATE.EXE-19890FEB.pf
20.12.2007 15:20 23.524 BOMUPDATE.EXE-00A782D8.pf
20.12.2007 14:15 28.828 RUNDLL32.EXE-439E4F34.pf
20.12.2007 14:04 46.550 OUTLOOK.EXE-1615251F.pf
20.12.2007 07:43 57.824 MSPAINT.EXE-11CBB631.pf
19.12.2007 16:13 90.550 MSIEXEC.EXE-2F8A8CAE.pf
19.12.2007 15:40 60.628 REGEDIT.EXE-1B606482.pf
18.12.2007 21:00 32.898 ONLINE~1.EXE-0C1896F5.pf
18.12.2007 15:05 46.114 USNSVC.EXE-1D8C2356.pf
18.12.2007 15:04 89.018 MSNMSGR.EXE-091111D0.pf
16.12.2007 12:46 61.158 LUCOMS~1.EXE-02DB5950.pf
16.12.2007 12:46 30.050 AUPDATE.EXE-089630E1.pf
16.12.2007 12:46 24.502 NDETECT.EXE-38C3701D.pf
16.12.2007 12:14 51.806 WGATRAY.EXE-0ED38BED.pf
15.12.2007 19:30 13.148 RUNDLL32.EXE-451FC2C0.pf
15.12.2007 19:21 88.380 ACRORD32.EXE-0EC716D9.pf
23.11.2007 15:03 63.976 MSMSGS.EXE-32066BA5.pf
10.11.2007 12:56 30.420 MSNAPPAU.EXE-07C6C34E.pf
88 Datei(en) 4.823.082 Bytes
0 Verzeichnis(se), 13.657.317.376 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\WINDOWS

21.12.2007 17:34 1.598.624 WindowsUpdate.log
21.12.2007 14:47 49 NeroDigital.ini
21.12.2007 14:20 106.824 setupapi.log
21.12.2007 14:19 0 0.log
21.12.2007 14:19 159 wiadebug.log
21.12.2007 14:19 50 wiaservc.log
21.12.2007 14:19 2.048 bootstat.dat
21.12.2007 14:18 246 system.ini
21.12.2007 14:18 736 win.ini
21.12.2007 14:11 32.538 SchedLgU.Txt
20.12.2007 19:39 50 Lic.xxx
18.12.2007 22:36 33.052 KB942615-IE7.log
18.12.2007 15:02 14.630 DPINST.LOG
17.12.2007 19:51 10.366 WgaNotify.log
17.12.2007 19:44 192.425 setupact.log
16.12.2007 12:57 996.352 iis6.log
16.12.2007 12:57 185.257 ntdtcsetup.log
16.12.2007 12:57 306.892 comsetup.log
16.12.2007 12:57 416.079 tsoc.log
16.12.2007 12:57 1.943 imsins.log
16.12.2007 12:57 49.488 ocmsn.log
16.12.2007 12:57 45.414 tabletoc.log
16.12.2007 12:57 62.719 MedCtrOC.log
16.12.2007 12:57 158.103 netfxocm.log
16.12.2007 12:57 437.384 ocgen.log
16.12.2007 12:57 45.259 msgsocm.log
16.12.2007 12:57 891.257 FaxSetup.log
16.12.2007 12:57 277.800 msmqinst.log
16.12.2007 12:40 7.680 Thumbs.db
13.12.2007 17:15 663 videoimp.ini
13.12.2007 17:15 54.156 QTFont.qfn
13.12.2007 10:55 1.393 imsins.BAK
13.12.2007 10:55 19.515 KB937894.log
13.12.2007 10:53 30.045 KB942763.log
13.12.2007 10:53 16.700 KB941569.log
13.12.2007 10:52 101.410 updspapi.log
13.12.2007 10:51 11.212 KB941568.log
13.12.2007 10:51 10.989 KB944653.log
11.12.2007 11:14 1.409 QTFont.for
10.12.2007 17:04 3.975 Sti_Trace.log
02.12.2007 23:14 2.908 COM+.log
24.11.2007 11:19 23 FLASHKSK.INI
23.11.2007 15:04 630 MININU.LOG
17.11.2007 11:03 9.904 ModemLog_SAMSUNG Mobile USB Modem.txt
14.11.2007 21:35 6.628 KB943460.log
14.11.2007 17:59 60.090 wmsetup.log
12.11.2007 17:23 225 DHCPUPG.LOG
12.11.2007 17:22 413 WINNT32.LOG
11.11.2007 03:01 10.914 KB938127-IE7.log
265 Datei(en) 20.555.453 Bytes
0 Verzeichnis(se), 13.657.305.088 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\WINDOWS\tasks

21.12.2007 18:00 268 A747EF8D91B46629.job
21.12.2007 14:19 6 SA.DAT
18.08.2001 11:00 65 desktop.ini
3 Datei(en) 339 Bytes
0 Verzeichnis(se), 13.657.305.088 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\WINDOWS\temp

21.12.2007 17:44 255 WGAErrLog.txt
21.12.2007 14:25 409 WGANotify.settings
19.12.2007 15:16 16.384 Perflib_Perfdata_70c.dat
18.12.2007 22:48 16.384 Perflib_Perfdata_86c.dat
18.12.2007 22:00 16.384 Perflib_Perfdata_b54.dat
18.12.2007 16:22 16.384 Perflib_Perfdata_8b0.dat
16.12.2007 14:10 16.384 Perflib_Perfdata_1654.dat
04.12.2007 23:12 613 6841.tmp
04.12.2007 11:06 6.209 NetFxUpdate_v1.1.4322.log
04.12.2007 11:05 25.838 netfxsl.log
02.12.2007 23:12 3.608 netfxupdate.log
02.12.2007 23:12 16.384 Perflib_Perfdata_e64.dat
02.12.2007 23:11 7.734 ASPNETSetup.log
08.11.2007 21:14 16.384 Perflib_Perfdata_94c.dat
38 Datei(en) 28.255.843 Bytes
0 Verzeichnis(se), 13.657.300.992 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08BF-ADF2

Verzeichnis von C:\DOKUME~1\serdar\LOKALE~1\Temp

21.12.2007 18:19 125.319 filelist.txt
21.12.2007 16:27 208 java_install_reg.log
21.12.2007 14:25 1.730 jusched.log
21.12.2007 14:10 114.688 ~DFEBB8.tmp
20.12.2007 22:50 49.684 bf3f_appcompat.txt
20.12.2007 22:50 35.988.798 MWAV.LOG
20.12.2007 22:50 378.936 sfdb.dat
20.12.2007 21:37 4.361.184 MWAVC.LOG
20.12.2007 21:37 283.309 mwXface.log
20.12.2007 19:39 477 EUpdate.ini
20.12.2007 19:39 91 IUpdate.ini
20.12.2007 19:39 0 success.sem
20.12.2007 19:39 6.148 Download.log
20.12.2007 19:39 5.395 update.txt
20.12.2007 19:39 36.730 unp039.avc
20.12.2007 19:39 15.837 unp029.avc
20.12.2007 19:39 17.268 unp024.avc
20.12.2007 19:39 62.698 unp019.avc
20.12.2007 19:39 3.142.173 File2.sdb
20.12.2007 19:39 1.282.718 Cid.sdb
20.12.2007 19:39 323.045 spydb.old
20.12.2007 19:39 163.326 Spyware.sdb
20.12.2007 19:39 1.308.261 Dir.sdb
20.12.2007 19:39 323.045 spydb.avs
20.12.2007 19:39 2.128.022 File1.sdb
20.12.2007 19:39 107.247 krn005.avc
20.12.2007 19:39 21.524 fa001.avc
20.12.2007 19:39 38.111 fa.avc
20.12.2007 19:39 42.186 ext009.avc
20.12.2007 19:39 25.470 ext007c.avc
20.12.2007 19:39 262 dailyc.avc
20.12.2007 19:39 89.954 daily.avc
20.12.2007 19:39 408 daily-ex.avc
20.12.2007 19:39 408 daily-ex.avx
20.12.2007 19:39 408 daily-ec.avc
20.12.2007 19:39 33.916 base161.avc
20.12.2007 19:39 56.205 base144.avc
20.12.2007 19:39 49.704 base114.avc
20.12.2007 19:39 19.681 base075c.avc
20.12.2007 19:39 54.061 base074c.avc
20.12.2007 19:39 54.255 base073c.avc
20.12.2007 19:39 4.275 avp_ext.set
20.12.2007 19:39 4.275 avp_x.set
20.12.2007 19:39 4.275 avp.set
20.12.2007 19:39 30.585 avp.klb
20.12.2007 19:39 6.474 filelist.lst
20.12.2007 19:39 122.947 pinfect.zip
20.12.2007 18:14 84.345 Art-320194576311-3.html
20.12.2007 18:14 40.417 Art-320194576311-2-1.html
20.12.2007 18:14 29.485 Art-320194576311-2.html
20.12.2007 18:13 12.193 Art-320194576311-1.html
20.12.2007 18:06 86.024 Art-320194573500-3.html
20.12.2007 18:06 40.346 Art-320194573500-2-1.html
20.12.2007 18:06 28.732 Art-320194573500-2.html
20.12.2007 18:06 12.188 Art-320194573500-1.html
19.12.2007 22:16 176.640 esupdate.exe
19.12.2007 22:07 47.224 unp017.avc
19.12.2007 17:57 8.696.080 vlist.txt
19.12.2007 17:57 262 vlist.log
19.12.2007 15:43 822 remove.ini
19.12.2007 15:43 227 httpsite.txt
19.12.2007 15:43 111 ftpsites.txt
19.12.2007 15:43 1.047 00184597.key
19.12.2007 15:43 1.016 00184596.key
19.12.2007 15:42 626.688 msvcr80.dll
19.12.2007 15:42 548.864 msvcp80.dll
19.12.2007 15:42 1.940 recycler.reg
19.12.2007 15:42 7.168 erootdrv.sys
19.12.2007 15:41 241.664 MYDB.DLL
19.12.2007 15:37 335.911 phupdn.txt
19.12.2007 15:21 18.427 global.daz
19.12.2007 15:21 94.802 phupdn.txz
19.12.2007 15:17 339.477 scs
19.12.2007 14:46 43.301 English.Age
19.12.2007 13:52 63.488 reload.exe
19.12.2007 13:50 472.640 mexe.com
19.12.2007 13:50 472.640 MWAVSCAN.COM
18.12.2007 19:20 413.696 viewtcp.exe
18.12.2007 15:03 77 calog.txt
18.12.2007 11:05 55.947 base072c.avc
18.12.2007 11:01 0 EPSLog.txt
16.12.2007 17:00 40.448 unregx.exe
16.12.2007 15:07 1.974.272 msvl64.dll
16.12.2007 15:00 44.032 setpriv.exe
16.12.2007 14:55 155.648 msvlclnt.dll
16.12.2007 14:46 49.216 Getvlist.exe
15.12.2007 03:07 108 D653F3EC.TMP
14.12.2007 15:49 52.324 base160.avc
14.12.2007 15:49 49.150 ext006c.avc
14.12.2007 15:49 54.393 base071c.avc
14.12.2007 13:44 11.860 English.con
13.12.2007 18:28 188.416 download.exe
13.12.2007 17:58 431.104 MWAVReg.EXE
11.12.2007 21:54 52.628 Czech.Age
11.12.2007 21:54 51.815 Tamil.age
11.12.2007 21:54 92.420 Chinese.Age
11.12.2007 21:54 111.324 Icelandic.Age
11.12.2007 21:54 113.092 Finnish.Age
11.12.2007 21:54 116.234 Polish.Age
11.12.2007 21:54 117.389 French.Age
11.12.2007 21:54 116.279 Spanish.Age
11.12.2007 21:54 117.003 Spanishl.Age
11.12.2007 21:54 112.034 Romanian.Age
11.12.2007 21:54 124.575 Portuguese.Age
11.12.2007 21:54 123.645 Italian.Age
11.12.2007 21:06 1.331 esupd.ini
11.12.2007 19:51 4.736 vfbxphio.dat
11.12.2007 18:25 53.588 base070c.avc
10.12.2007 11:20 55.041 base069c.avc
07.12.2007 10:43 67.390 unp002.avc
07.12.2007 09:20 98.304 avpgs.ppl
06.12.2007 22:38 14.400 faristream.ppl
06.12.2007 22:37 14.912 farbuffer.ppl
06.12.2007 22:37 139.264 ScanningProcess.exe
06.12.2007 22:36 65.536 ikave.dll
06.12.2007 22:35 282.624 kave.dll
06.12.2007 16:47 49.154 unp027.avc
06.12.2007 16:47 46.576 unp001.avc
06.12.2007 16:47 49.389 base089.avc
05.12.2007 12:28 33.328 unp031.avc
05.12.2007 12:28 55.475 base068c.avc
05.12.2007 12:28 40.885 krn004.avc
04.12.2007 11:11 38.186 unp032.avc
04.12.2007 11:11 30.637 unp028.avc
04.12.2007 11:11 60.834 unp013.avc
04.12.2007 11:11 49.527 base158.avc
04.12.2007 11:11 49.774 base156.avc
04.12.2007 11:11 49.907 base134.avc
04.12.2007 11:11 49.770 base145.avc
04.12.2007 11:11 49.262 base084.avc
04.12.2007 11:11 48.265 base015.avc
04.12.2007 11:11 50.057 base062c.avc
04.12.2007 11:11 51.448 base002c.avc
01.12.2007 11:38 46.675 unp033.avc
01.12.2007 11:38 50.475 base157.avc
01.12.2007 11:38 49.921 base152.avc
01.12.2007 11:38 55.174 base067c.avc
30.11.2007 11:39 48.820 unp037.avc
30.11.2007 11:39 54.085 base159.avc
30.11.2007 11:39 49.505 base026.avc
30.11.2007 11:39 48.875 base011.avc
29.11.2007 20:39 46.316 unp036.avc
29.11.2007 20:39 48.859 unp034.avc
29.11.2007 20:39 50.611 base148.avc
28.11.2007 11:52 48.062 unp038.avc
28.11.2007 11:52 55.081 base066c.avc
27.11.2007 14:57 37.875 unp020.avc
27.11.2007 14:57 49.679 base020.avc
27.11.2007 14:57 50.163 base063c.avc
27.11.2007 14:57 50.081 base035c.avc
27.11.2007 13:42 49.027 language.ini
27.11.2007 13:42 49.027 German.Age
26.11.2007 21:50 120.383 krnunp.avc
24.11.2007 13:55 64.838 unp016.avc
24.11.2007 13:55 49.843 base155.avc
24.11.2007 13:55 51.077 base146.avc
23.11.2007 18:50 49.655 base153.avc
23.11.2007 18:50 50.198 base154.avc
23.11.2007 18:50 50.278 base127.avc
23.11.2007 18:50 50.010 base065c.avc
23.11.2007 18:50 50.233 base064c.avc
21.11.2007 23:08 5.515 Czech.dow
21.11.2007 23:08 5.437 Tamil.dow
21.11.2007 23:08 4.474 Chinese.dow
21.11.2007 23:07 5.575 Icelandic.dow
21.11.2007 23:07 5.844 Finnish.dow
21.11.2007 23:07 6.476 Polish.dow
21.11.2007 23:07 6.354 French.dow
21.11.2007 23:07 6.006 Spanish.dow
21.11.2007 23:07 6.373 Spanishl.dow
21.11.2007 23:07 5.908 Romanian.dow
21.11.2007 23:07 6.297 Portuguese.dow
21.11.2007 23:07 5.930 Italian.dow
21.11.2007 23:07 6.061 Download.lan
21.11.2007 23:07 6.061 German.dow
21.11.2007 22:46 49.291 base025.avc
21.11.2007 22:46 50.515 ext005c.avc
21.11.2007 22:46 50.135 base061c.avc
21.11.2007 13:42 5.539 English.dow
20.11.2007 19:37 35.840 WDiskIO.ppl
20.11.2007 10:45 49.144 base030.avc
19.11.2007 19:37 13.670 French.con
19.11.2007 13:04 41.175 unp022.avc
19.11.2007 13:04 57.842 unp015.avc
19.11.2007 13:04 56.293 unp014.avc
19.11.2007 13:04 49.913 base129.avc
19.11.2007 13:04 47.772 base003.avc
19.11.2007 13:04 50.561 base013c.avc
19.11.2007 13:04 50.682 base005c.avc
17.11.2007 16:51 11.731 Czech.con
17.11.2007 16:51 11.444 Tamil.con
17.11.2007 16:51 9.295 Chinese.con
17.11.2007 16:51 12.420 Icelandic.con
17.11.2007 16:51 12.293 Finnish.con
17.11.2007 16:51 13.471 Polish.con
17.11.2007 16:51 12.609 Spanish.con
17.11.2007 16:51 13.091 Spanishl.con
17.11.2007 16:50 12.259 Romanian.con
17.11.2007 16:50 13.277 Portuguese.con
17.11.2007 16:50 12.298 Italian.con
17.11.2007 16:50 15.837 config.lan
17.11.2007 16:50 15.837 German.con
17.11.2007 14:30 49.841 base083.avc
17.11.2007 13:46 50.501 base065.avc
17.11.2007 11:29 49.568 base130.avc
16.11.2007 16:47 49.801 base042.avc
16.11.2007 12:05 41.038 base092.avc
14.11.2007 18:43 9.598 german.lan
14.11.2007 17:21 11.721 English.lan
13.11.2007 17:03 156.854 krnmacro.avc
13.11.2007 11:46 51.053 base029.avc
13.11.2007 11:46 49.951 base094.avc
12.11.2007 11:50 50.107 base037c.avc
12.11.2007 11:50 48.011 base038c.avc
12.11.2007 11:50 50.166 base036c.avc
12.11.2007 11:50 50.768 base034c.avc
626 Datei(en) 90.542.509 Bytes
0 Verzeichnis(se), 13.657.264.128 Bytes frei

mfg gala86

myrtille · 21.12.2007, 22:11

Hi,

die filelist ist richtig!

Bitte diese Datei wie unter Punkt 5 dieser Anleitung: klick beschrieben löschen:

Zitat:

C:\windows\tasks\A747EF8D91B46629.job

Wechsele danach bitte in den abgewechselten Modus und versuche die folgende Linie im abgesicherten Modus mit HJT zu fixen:

Zitat:

O2 - BHO: (no name) - {81D1E6C4-7B3A-4595-BF72-A2F962EDAF84} - C:\WINDOWS\system32\dxdiag.dll (file missing)

Das mit der Systemwiederherstellung ist irgendwie kompliziert. Wenn du sie noch nie benutzt hast, dann wird dir auch nicht auffallen, dass sie deaktiviert wurde.
Der Wikipedialink erklärt es wahrscheinlich besser als ich: klick.

Ich würde dir Vorschlagen: Die Systemwiederherstellung einmal deaktivieren, danach einen neuen Systemwiederherstellungspunkt anlegen (passiert automatisch) vondem du weißt, dass er sauber ist und zu dem du ohne Bedenken zurückkehren kannst.

Hier noch ein Erklärungsversuch von mir:
Die Systemwiederherstellung macht zb (De)Installationen rückgängig.
Wenn du also gestern ein Programm installiert hast, dass dir nicht gefällt, dann kannst du den Systemwiederherstellungspunkt von vorgestern aufrufen

as sorgt dafür, dass auf deinem Rechner nur all die Sachen isntalliert sind, die du vorgestern installiert hattest. (Also neues Programm wird entfernt).
In deinem Fall ist das problematisch, weil du, wenn du einen früheren Wiederherstellungspunkt aufrufst, Windows damit sagst, dass du die Popups wieder haben möchtest und windows wird dir das dann wieder installieren.
Deswegen möchte ich alle Wiederherstellungspunkte löschen und einen neuen von heute anlegen. So kannst du, falls du die Systemwiederherstellung doch mal benutzen möchtest um Programmreste zu entfernen, den heutigen Tag auswählen und weißt, dass er nicht von Trojanern verseucht ist...

Ich hoffe das macht das ganze irgendwie klarer.

lg myrtille

18.12.2007, 22:32	#6
gala86 Gesperrt	Ie Explorer / öffnet Von Selbst Werbesiten Banner wenn ich auf C:\WINDOWS gehe dann sind ganz viele ordner die farblich ausgeblendet erscheinen mit solchen ordnernamen wie z.b: $hf_mig$ $NtUninstallKB899591$ $NtUninstallKB911567$ $NtUninstallKB939653_0$ was beinhalten diese dateien, müssen sie gelöscht werden? danke dir schonmal für deine hanze hilfe

Ie Explorer / öffnet Von Selbst Werbesiten Banner

Log-Analyse und Auswertung: Ie Explorer / öffnet Von Selbst Werbesiten Banner