Hallo Leute,

ich habe seit ein paar Tagen ein kleines Problem hier, nämlich: Immer nach einem Betriebssystemstart, stellt sich sich mein Desktop um, da ist nun alles Rot, ein Sichel ähnliches Zeichen und drunter steht: "Your privacy is in danger - please download protection software now". Ich habe schon bei Google nach diesem Problemkind gesucht, aber alle gezeigten Methoden haben nichts genützt - klar, wir haben ja nicht alle den gleichen PC mit derselben Software... Den Ordner "privacy_danger" im Verzeichnis E:\WINDOWS\ zu löschen bringt nichts, er erstellt sich immer wieder neu. Bisher habe ich den nervigen Desktophintergrund umgangen, in dem ich "Start->Systemsteuerung->Darstellung und Designs->Anzeige->Desktop->Anpassen->Web" und dort dann "privacy_danger" rausgelöscht habe, dann war bis zum nächsten Systemstart mein Desktopn wieder normal. Nebenbei, ich benutze Kaspersky Ant-Hacker Firewall und Kaspersky Anti-Virus 7. Ich hoffe es gibt ne Lösung dafür, langsam geht's einem echt auf den Geist. Hier der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:18, on 01.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Razer\Krait\razerhid.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Programme\Java\jre1.6.0_04\bin\jusched.exe
E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\Programme\Razer\Krait\razerofa.exe
D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://www.razerzone.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll
O3 - Toolbar: ekvgsnw - {60570909-486A-4609-B7AE-CBCAA3831168} - (no file)
O4 - HKLM\..\Run: [Krait] D:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'e:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h++p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer = 192.168.1.1
O20 - Winlogon Notify: iifcbba - E:\WINDOWS\
O21 - SSODL: alofkmn - {AF7E1CA4-ECB5-47BB-B37B-AC0BCFFC4005} - E:\WINDOWS\alofkmn.dll
O21 - SSODL: bxlrvps - {DB7D5ED2-AF9D-4745-AB98-3CA43DF3A3F8} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - E:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7785 bytes

Ach und noch was: Ca. alle 5 Minuten öffnet sich ein IE Browserfenster mit irgendsolchem "mediasmega" und "Software" Krams, ich schließ es immer wieder. Habe auch schon mal geguckt, ob beim IE unter "Add-Ons" irgendwas mit privacy_danger ist, ohne Erfolg... Spybot S&D u.ä. bringen hier nur bis zum nächsten Systemstart etwas. Außerdem hatte ich vor langer Zeit mal ein "Bonjour" Virus-ähnliches Teil im Rechner, ich habe im abgesicherten Modus von Windows im Verzeichnis E:\Programme\ einfach den Ordner "Bonjour" gelöscht, danach war alles in Ordnung...

MfG

Hi
Vundo ist dir nicht zufällig ein Begriff oder?

Man sieht recht viele Reste von Infektionen, daher würd ich dich bitten folgende Analysetools über den Rechner laufen zu lassen, bevor wir uns an die Bereinigung machen:

• Silentrunners
• Blacklight (wenn der Link nicht lädt bitte Bescheid geben)
• dieses script:

  
  - Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  - Doppelklick auf listing7.cmd auf dem Desktop
  - nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

  Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
• SmitfraudFix
  -Lade des Tool herunter
  -Starte es dann und lass das System durchsuchen. (Option 1)
  
  
  
  -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Alle Logs, außer wenn anders beschrieben, hier posten.

lg myrtille

Zitat:

Zitat von myrtille

• Blacklight (wenn der Link nicht lädt bitte Bescheid geben)

Hi!

der Link zu Blacklight funktioniert leider nicht, er weiß nicht, wohin er weiterleiten soll...

MfG

Ach, P.S.: Nein, Vundo sagt mir grad nichts.

Ok, dann war das nicht nur mein Problem.

Probier mal folgenden Link: klick

lg myritlle

So,

• Silentrunners Ergebnis
• Blacklight Ergebnis
• listing7.cmd Ergebnis
• SmitfraudFix Ergebnis

Ich hoffe ich hab alles richtig gemacht...

MfG

Jein. Auf jedenfall hast du nichts falsch gemacht.

Kannst du mir bitte sagen, was du mit BFU gemacht hast? Bzw woher der Ordner BFU unter E:\ kommt?

Dann bitte folgende Dateien bei virustotal auswerten lassen:

Zitat:

E:\WINDOWS\system32\mskras.dll
E:\windows\system32\cnpsedufet4d.EXT
E:\WINDOWS\iun506.exe

Poste die Ergebnisse dann bitte hier.

lg myrtille
Schau bitte außerdem mal in folgenden Ordner:

Zitat:

E:\WINDOWS\system32\o01PrEz

Sag mir welche Dateien sich in dem Ordner befinden. Lasse eventuell ausführbare Dateien (.exe) auch bei virustotal auswerten. (Wenns nicht grad 20.000 sind. Dann vorher nochmal melden. )

BFU ist ein Brute Force Uninstaller - ich hatte bereits bei Google nach einer Lösung für dieses "Privacy danger" Problem gesucht, wo etwas mit diesem BFU drin vorkam, hatte damals die Schritte durchgeführt, was allerdings nichts geändert hatte... Nun zu den Ergebnissen:

Zitat:

E:\WINDOWS\iun506.exe

Ich weiß leider nicht, wie man etwas Log ähnliches aus VirusTotal herausbekommt, deswegen hier mal der Link zum Resultat (müsste eigentlich funktionieren).

Zitat:

E:\WINDOWS\system32\mskras.dll

Hier das Resultat.

Zitat:

E:\WINDOWS\system32\cnpsedufet4d.EXT

Ergebnis

Der Ordner "o01PrEz" unter E:\WINDOWS\system32\ ist leer, habe die Ordnereinstellungen aber so bearbeitet, dass versteckte und "geschützte" Dateien sichtbar sind.

P.S.: Manchmal findet Kaspersky AV unter dem Ordner "E:\System Volume Information\" Dateien á la "A002356.dll", die angeblich mit einem Trojaner infiziert sind, was kann das sein - kann ich die Datei löschen?

MfG

Noch was: Gibt es Programme, die praktisch einen Sicherheitscheck bei meinem PC durchführen und mir so mitteilen können, was ich evtl. noch für Sicherheitsprogs gebrauchen könnte, bzw. haben sollte?

Was BFU ist weiß ich auch. Ich wollte wissen welche Dateien du damit gelöscht hast.

Hmm, die Virustotalausgaben sind etwas dürftig.
Ruf die entsprechenden Dateien mal bitte mit rechts auf und klicke auf Eigenschaften und dann auf den Reiter "Version". Sind bei Firma, Produktname, Originaldateiname iirgendwelche Informationen zu sehen?
Bennen bitte mskras.dll in mskras.dll.vir um. Melde eventuelle Fehlermeldungen die auftreten könnten.

So dann zur Bereinigung:

Wechsele in den abgesicherten Modus und führe erneut Smitrfraudfix aus, wähle diesmal die Option 2 an.
Poste das neue Log dann hier.
Führe bitte danach im normalen Modus noch folgende Tools aus und stelle die Logs ebenfalls hier rein: (die Logs sind kurz genug, einfach den Text im Editor abkopieren und als Antwort hier posten.)

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit 1, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Bitte während der Scans nichts weiter am Rechner tun, sondern abwarten bis die Scans durchgelaufen sind und sich der Editor mit dem Log öffnet.

lg myrtille

Zitat:

Zitat von myrtille

Ich wollte wissen welche Dateien du damit gelöscht hast.

Keine, soweit ich mich erinnere.

Zitat:

Zitat von myrtille

Ruf die entsprechenden Dateien mal bitte mit rechts auf und klicke auf Eigenschaften und dann auf den Reiter "Version". Sind bei Firma, Produktname, Originaldateiname iirgendwelche Informationen zu sehen?

Nur iun506.exe gibt Informationen her:

• Version: 5.0.1.4
• Beschreibung: Setup Factory 5.0 Uninstall Runtime
• Firma: Indigo Rose Corporation (h++p://www.indigorose.com/)
• Originaldateiname: iun500.EXE
• interner Name: IRUNIN50

Zitat:

Zitat von myrtille

Bennen bitte mskras.dll in mskras.dll.vir um. Melde eventuelle Fehlermeldungen die auftreten könnten.

Habe die Datei umbenannt, bisher keine Fehlmeldungen. Werde jetzt kurz neustarten, und dann berichten ob irgendwelche Abnormalitäten, bzw. Variationen auftreten. Danach beginne ich mit der Bereinigung.

MfG

EDIT: So, habe die Datei mskras.dll in mskras.dll.vir umbenannt, nach Windows Neustart im normalen Modus keine Veränderungen, Privacy Danger ist noch da, alle Programme laufen wie immer, die Datei hat sich auch nicht neu-erstellt oder ähnliches.

P.S.: Smitfraudfix fragt mich, ob ich die registry cleanen will - ich hab erstmal nein gedrückt, ist das in Ordnung?

Sooo,

habe die Bereinigung mit VundoFix durchgeführt, aber habe kein Log File bekommen, bzw. finden können. VundoFix hat allerdings eine Datei gefunden und den Vundo anscheinend behoben. ComboFix lässt sich nicht ausführen, da es keine zulässige Win32 Anwendung ist, auch nicht im abgesicherten Modus... Allerdings gibt's seit der SmitfraudFix Bereinigung keine Privacy-Danger, bzw. ähnliche Vorfälle, dafür schonmal einen großen Dank, Browserfenster öffnen sich auch nicht mehr!

MfG

EDIT: Ich habe nun allerdings die Befürchtung, dass seit der Umbennenung von mskras.dll in mskras.dll.vir mein Windows Update nicht mehr funktioniert, da in der Taskleiste immer das Update Symbol beim herunterladen von Updates angezeigt wird, aber es verschwindet sofort wieder...

EDIT²: Habe in einem anderen Thread hier gelesen, dass FlashGet auch Spyware anfällig ist, hab's mal runtergeschmissen... Brauch es soweiso max. 1x im Jahr... Achso, nun doch noch die Logs:

• SmitfraudFix

Zitat:

SmitFraudFix v2.299

Scan done at 18:16:25,14, 02.03.2008
Run from
C:\Downloads usw\Progs\Alles gegen Spyware & Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

Hosts lass ich mal weg, ok? Steht 1. immer das Gleiche (127.0.0.1, usw.), 2. wär's dann doch zu lang für das Forum.

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
E:\WINDOWS\alofkmn.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

E:\WINDOWS\privacy_danger\ Deleted
E:\DOKUME~1\Aljoscha\FAVORI~1\Error Cleaner.url Deleted
E:\DOKUME~1\Aljoscha\FAVORI~1\Privacy Protector.url Deleted
E:\DOKUME~1\Aljoscha\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5E257C7C-6134-4867-8070-A14D86AAA71F}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E257C7C-6134-4867-8070-A14D86AAA71F}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5E257C7C-6134-4867-8070-A14D86AAA71F}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5E257C7C-6134-4867-8070-A14D86AAA71F}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 217.237.151.97
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 217.237.151.97


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

• VundoFix

Zitat:

VundoFix V6.7.10

Checking Java version...

Sun Java not detected
Scan started at 18:28:04 02.03.2008

Listing files found while scanning....

D:\Programme\PowerISO\PWRISOSH.DLL

Beginning removal...

Attempting to delete D:\Programme\PowerISO\PWRISOSH.DLL
D:\Programme\PowerISO\PWRISOSH.DLL Has been deleted!

Performing Repairs to the registry.
Done!

MfG (<- hatte ich oben schonmal, oder? Na egal)

Hm, also ich kann meinen vorherigen Beitrag grad irgendwie nicht ändern, vllt. liegts daran, dass ich mit 3 PCs hier angemeldet bin und der nicht mehr zu Recht weiß... Also, ich hab nun doch noch ne Win32er Version von ComboFix gefunden und die Schritte durchgeführt, hier das Log:

ComboFix 08-03-03.4 - ++ 2008-03-02 22:18:47.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1543 [GMT 1:00]
ausgeführt von:: E:\Dokumente und Einstellungen\++\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Dokumente und Einstellungen\++\Anwendungsdaten\inst.exe
E:\WINDOWS\system32\o01PrEz

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 ))))))))))))))))))))))))))))))
.

2008-03-02 22:05 . 2004-08-04 00:57 428,032 --a------ E:\CF24297.exe
2008-03-02 19:28 . 2008-03-02 19:28 54,156 --ah----- E:\WINDOWS\QTFont.qfn
2008-03-02 19:28 . 2008-03-02 19:28 1,409 --a------ E:\WINDOWS\QTFont.for
2008-03-02 18:28 . 2008-03-02 18:28 <DIR> d-------- E:\VundoFix Backups
2008-03-02 15:13 . 2008-03-02 18:16 1,862 --a------ E:\WINDOWS\system32\tmp.reg
2008-03-02 15:10 . 2008-03-02 15:10 <DIR> d-------- E:\Dokumente und Einstellungen\++\temporary internet files
2008-03-02 12:51 . 2008-03-02 12:51 6,144 --a------ E:\WINDOWS\system32\mskras.dll.vir
2008-03-02 12:13 . 2008-03-02 12:13 <DIR> d-------- E:\WINDOWS\XXXXprivacy_danger
2008-03-01 00:18 . 2007-10-25 17:55 8,495,616 --a------ E:\WINDOWS\system32\shell32.bak
2008-02-29 13:52 . 2008-02-29 13:52 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Java
2008-02-29 13:52 . 2007-12-14 01:59 69,632 --a------ E:\WINDOWS\system32\javacpl.cpl
2008-02-29 00:01 . 2008-03-02 19:04 <DIR> d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2008-02-29 00:01 . 2008-03-03 22:21 3,268,640 --ahs---- E:\WINDOWS\system32\drivers\fidbox.dat
2008-02-29 00:01 . 2008-02-29 00:11 91,700 --a------ E:\WINDOWS\system32\drivers\klin.dat
2008-02-29 00:01 . 2008-02-29 00:11 85,860 --a------ E:\WINDOWS\system32\drivers\klick.dat
2008-02-29 00:01 . 2008-03-03 22:20 66,080 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-29 00:01 . 2008-03-02 18:57 45,860 --ahs---- E:\WINDOWS\system32\drivers\fidbox.idx
2008-02-29 00:01 . 2008-03-02 18:57 8,660 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-28 23:55 . 2008-02-28 23:55 <DIR> d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
2008-02-28 23:07 . 2008-02-29 00:30 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Kaspersky Lab
2008-02-26 13:54 . 2008-02-26 13:54 <DIR> d-------- E:\Dokumente und Einstellungen\++\Anwendungsdaten\vlc
2008-02-24 17:58 . 2008-02-24 17:58 85 --a------ E:\WINDOWS\wininit.ini
2008-02-24 17:41 . 2008-02-24 18:12 <DIR> d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2008-02-23 19:15 . 2008-02-29 18:08 220 --a------ E:\WINDOWS\AISmooth.INI
2008-02-21 18:54 . 2008-02-21 18:54 <DIR> d-------- E:\Dokumente und Einstellungen\Aljoscha\Anwendungsdaten\DAEMON Tools
2008-02-19 19:44 . 2008-02-25 16:58 74 --a------ E:\WINDOWS\QFP.ini
2008-02-17 12:24 . 1999-12-17 10:13 86,016 --a------ E:\WINDOWS\unvise32.exe
2008-02-16 17:25 . 2008-02-16 17:25 249,856 --------- E:\WINDOWS\Setup1.exe
2008-02-16 17:25 . 2008-02-16 17:25 73,216 --a------ E:\WINDOWS\ST6UNST.EXE
2008-02-16 17:04 . 2004-03-09 00:00 224,016 --a------ E:\WINDOWS\system32\TabCtl32.ocx
2008-02-16 14:20 . 2008-02-21 19:00 107,888 --a------ E:\WINDOWS\system32\CmdLineExt.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 20:13 22,328 ----a-w E:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-02 20:13 103,736 ----a-w E:\WINDOWS\system32\PnkBstrB.exe
2008-02-29 12:52 --------- d-----w E:\Programme\Java
2008-02-28 21:56 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
2008-02-28 17:29 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\LimeWire
2008-02-26 20:44 --------- d--h--w E:\Programme\InstallShield Installation Information
2008-02-24 22:07 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\Canopus
2008-02-22 20:08 737,280 ----a-w E:\WINDOWS\iun6002.exe
2008-02-21 18:16 66,872 ----a-w E:\WINDOWS\system32\PnkBstrA.exe
2008-02-21 17:54 716,272 ----a-w E:\WINDOWS\system32\drivers\sptd.sys
2008-01-28 19:01 286,720 ----a-w E:\WINDOWS\iun506.exe
2008-01-28 00:07 --------- d-----w E:\Programme\Gemeinsame Dateien\Snell & Wilcox Shared
2008-01-28 00:07 --------- d-----w E:\Programme\Gemeinsame Dateien\Canopus Shared
2008-01-28 00:07 --------- d-----w E:\Programme\Gemeinsame Dateien\Canopus
2008-01-28 00:07 --------- d-----w E:\Programme\Canopus
2008-01-28 00:07 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Canopus
2008-01-25 19:23 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\Publish Providers
2008-01-25 19:22 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\Sony
2008-01-25 19:17 --------- d-----w E:\Programme\Microsoft SQL Server
2008-01-25 19:17 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony
2008-01-25 19:16 --------- d-----w E:\Programme\Vstplugins
2008-01-20 23:13 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\Apple Computer
2008-01-20 23:12 --------- d-----w E:\Programme\Apple Software Update
2008-01-20 23:12 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2008-01-20 23:12 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2008-01-20 22:25 --------- d-----w E:\Programme\Windows Media-Komponenten
2008-01-20 19:17 47,360 ----a-w E:\Dokumente und Einstellungen\++\Anwendungsdaten\pcouffin.sys
2008-01-20 19:17 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\Vso
2008-01-20 19:15 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Altova
2008-01-18 05:29 118,784 ----a-r E:\WINDOWS\system32\MSSTDFMT.DLL
2008-01-17 12:44 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\AdobeUM
2008-01-13 18:37 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\CoreFTP
2008-01-08 20:06 --------- d-----w E:\DOKUME~1\ALLUSE~1\ANWEND~1\Ipswitch
2008-01-06 16:53 --------- d-----w E:\Programme\Realtek
2008-01-05 20:50 315,392 ----a-w E:\WINDOWS\HideWin.exe
2008-01-04 13:23 --------- d-----w E:\Programme\Gemeinsame Dateien\Adobe
2008-01-03 21:30 --------- d-----w E:\Programme\Google
2008-01-03 15:27 --------- d-----w E:\Dokumente und Einstellungen\++\Anwendungsdaten\FlashFXP
2008-01-02 17:39 4,608 ----a-w E:\WINDOWS\system32\w95inf32.dll
2007-12-26 19:20 53,248 ----a-w E:\WINDOWS\system32\unrar.dll
2007-12-25 23:47 356,352 ----a-w E:\WINDOWS\eSellerateEngine.dll
2007-12-24 23:26 64,835 ----a-w E:\WINDOWS\BricoPackUninst.cmd
2007-12-24 23:26 6,120 ----a-w E:\WINDOWS\BricoPackFoldersDelete.cmd
2007-12-24 23:26 219,648 ----a-w E:\WINDOWS\system32\uxtheme.dll
2007-12-24 21:41 558,142 ----a-w E:\WINDOWS\java\Packages\E1FB7Z17.ZIP
2007-12-24 21:41 155,995 ----a-w E:\WINDOWS\java\Packages\21R5RVXF.ZIP
2007-12-11 19:46 524,288 ----a-w E:\WINDOWS\system32\DivXsm.exe
2007-12-11 19:46 3,596,288 ----a-w E:\WINDOWS\system32\qt-dx331.dll
2007-12-11 19:46 129,784 ------w E:\WINDOWS\system32\pxafs.dll
2007-12-11 19:46 120,056 ------w E:\WINDOWS\system32\pxcpyi64.exe
2007-12-11 19:46 118,520 ------w E:\WINDOWS\system32\pxinsi64.exe
2007-12-11 19:45 200,704 ----a-w E:\WINDOWS\system32\ssldivx.dll
2007-12-11 19:45 1,044,480 ----a-w E:\WINDOWS\system32\libdivx.dll
2007-12-11 19:43 12,288 ----a-w E:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-07 02:04 824,832 ----a-w E:\WINDOWS\system32\wininet.dll
2007-12-05 13:17 593,920 ----a-w E:\WINDOWS\system32\ati2sgag.exe
2007-12-05 03:05 368,640 ----a-w E:\WINDOWS\system32\ATIDEMGX.dll
2007-12-05 03:04 269,312 ----a-w E:\WINDOWS\system32\ati2dvag.dll
2007-12-05 02:56 147,456 ----a-w E:\WINDOWS\system32\atipdlxx.dll
2007-12-05 02:55 43,520 ----a-w E:\WINDOWS\system32\ati2edxx.dll
2007-12-05 02:55 26,112 ----a-w E:\WINDOWS\system32\Ati2mdxx.exe
2007-12-05 02:55 122,880 ----a-w E:\WINDOWS\system32\Oemdspif.dll
2007-12-05 02:55 122,880 ----a-w E:\WINDOWS\system32\ati2evxx.dll
2007-12-05 02:54 307,200 ----a-w E:\WINDOWS\system32\atiiiexx.dll
2007-12-05 02:53 53,248 ----a-w E:\WINDOWS\system32\ATIDDC.DLL
2007-12-05 02:53 495,616 ----a-w E:\WINDOWS\system32\ati2evxx.exe
2007-12-05 02:48 9,535,488 ----a-w E:\WINDOWS\system32\atioglx2.dll
2007-12-05 02:44 3,175,584 ----a-w E:\WINDOWS\system32\ati3duag.dll
2007-12-05 02:33 1,640,192 ----a-w E:\WINDOWS\system32\ativvaxx.dll
2007-12-05 02:19 385,024 ----a-w E:\WINDOWS\system32\atikvmag.dll
2007-12-05 02:17 17,408 ----a-w E:\WINDOWS\system32\atitvo32.dll
2007-12-05 02:14 180,224 ----a-w E:\WINDOWS\system32\atiok3x2.dll
2007-12-05 02:11 499,712 ----a-w E:\WINDOWS\system32\ati2cqag.dll
2007-12-04 18:40 550,912 ----a-w E:\WINDOWS\system32\oleaut32.dll
2002-08-05 03:21 712,704 ----a-w E:\WINDOWS\inf\OTHER\audio3d.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 23:05 630784]
"DAEMON Tools Lite"="D:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 00:09 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Krait"="D:\Programme\Razer\Krait\razerhid.exe" [2006-01-24 10:38 147456]
"PRISMSVR.EXE"="D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe" [2004-04-26 14:26 295001]
"StartCCC"="E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"AVP"="D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51 218376]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

E:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Gamma Loader.lnk - E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-01-04 14:24:22 110592]
Kaspersky Anti-Hacker.lnk - D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe [2004-11-23 16:37:54 2179199]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifcbba]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroCheck"=E:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"D:\\Programme\\Autodesk\\3dsMax8\\3dsmax.exe"=
"D:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"D:\\Programme\\Autodesk\\backburner\\manager.exe"=
"D:\\Programme\\Autodesk\\backburner\\server.exe"=
"E:\\WINDOWS\\system32\\dpnsvr.exe"=
"D:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"D:\\Programme\\FlashFXP\\FlashFXP.exe"=
"D:\\Programme\\FlashGet\\flashget.exe"=
"D:\\Programme\\Reality Pump\\Earth 2160\\Earth2160_NO_SSE.exe"=
"D:\\Programme\\Reality Pump\\Earth 2160\\Earth2160_SSE.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25930:TCP"= 25930:TCP:BitComet 25930 TCP
"25930:UDP"= 25930:UDP:BitComet 25930 UDP
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

R0 Klpf;Klpf;E:\WINDOWS\system32\drivers\Klpf.sys [2004-11-23 16:38]
R0 Klpid;Klpid;E:\WINDOWS\system32\drivers\Klpid.sys [2004-11-23 16:38]
R1 cdrblock;cdrblock;E:\WINDOWS\system32\DRIVERS\cdrblock.sys [2007-05-31 10:40]
R1 cdrport;cdrport;E:\WINDOWS\system32\DRIVERS\cdrport.sys [2005-03-11 16:28]
R2 UxTuneUp;TuneUp Designerweiterung;E:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 FA312;NETGEAR FA330/FA312/FA311-Fast Ethernet-Adaptertreiber;E:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 12:12]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;E:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 SE4501D;Gigaset USB Adapter 54 Driver;E:\WINDOWS\system32\DRIVERS\SE4501D.sys [2004-06-02 02:43]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 22:21:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-03 22:22:01
ComboFix-quarantined-files.txt 2008-03-03 21:21:59
.
2008-02-13 17:01:36 --- E O F ---

MfG

P.S.: Seitdem ich das alles gemacht hab, ist hier wieder Ruhe im Haus...

Hi,

das sieht schonmal besser aus. Könntest du wohl bitte noch schauen, was in folgendem Ordner ist:

Zitat:

E:\WINDOWS\XXXXprivacy_danger

@hosts
Sind die Einträge denn von dir? Ein "normales" hosts-file sieht so aus:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Veränderungen werden entweder von Malware vorgenommen, um dir den Zugang zu Hilfsseiten zu verweigern oder von einigen Sicherheitsprogrammen, die dir so den Zugang zu Malwareverseuchten Seiten verweigern wollen.
Daher wäre es ganz gut zumindest 4-5 Zeilen zu sehen, um zu wissen worum es sich ahndelt.

@mskras.dll

Ich glaube eigentlich fest daran, dass es sich dabei um Malware handelt.
Hast du heute Mittag denn was installiert? Irgendwelche Updates eingespielt?
Microsoft versucht eigentlich alle seine Dateien zu signieren, daher würde es mich wundern, wenn die Datei von ihnen wäre.

@Vundofix
Das war leider ein Schuß in den Ofen.
Die gelöschte Datei ist wahrscheinlich gutartig. Geh mal in den Ordner C:\Vundofix backups und lade die Datei bei virustotal hoch. Mal sehen ob sie infiziert ist, wenn nicht solltest du sie zum korrekten funktionieren wieder an ihren alten Platz kopieren.

@smitfraudfix
Ja, das meiste sollte jetzt bereinigt sein.
Eigentlich kann man die Registry ruhig mitsäubern lassen, wir werden im Hijackthislog sehen, wieviel dann jetzt noch zu entfernen bleibt. (Sry für die ungenaue Anleitung)

Erstelle bitte auch noch ein neues Hijackthislogfile und poste es zusammen mit dem Inhalt des Ordners xxxxprivacy_danger hier.

lg myrtille

Hi!

Zitat:

Zitat von myrtille

@Vundofix
Das war leider ein Schuß in den Ofen.
Die gelöschte Datei ist wahrscheinlich gutartig. Geh mal in den Ordner C:\Vundofix backups und lade die Datei bei virustotal hoch. Mal sehen ob sie infiziert ist, wenn nicht solltest du sie zum korrekten funktionieren wieder an ihren alten Platz kopieren.

Jap, Datei ist Virenfrei, VirusTotal sagt 0%.

Zitat:

Zitat von myrtille

@smitfraudfix
Ja, das meiste sollte jetzt bereinigt sein.
Eigentlich kann man die Registry ruhig mitsäubern lassen, wir werden im Hijackthislog sehen, wieviel dann jetzt noch zu entfernen bleibt. (Sry für die ungenaue Anleitung)

Kein Problem, habe die Registry mit CCleaner gereinigt.

Zitat:

XXXXprivacy_danger

Im Ordner "XXXXprivacy_danger" sind dieselben Dateien, wie im vom Smitfraud ständig erstellten "privacy_danger" Ordner, ich hatte lediglich mal versucht, den Ordner umzubenennen, was nichts brachte, aber nun kann ich ja den Ordner löschen.

Zitat:

Hosts

Also meiner Meinung nach sehen die Hosts recht normal aus:

Zitat:

Zitat von Beispiel

127.0.0.1 localhost
127.0.0.1 www.tv-codecs.com
127.0.0.1 tv-codecs.com
127.0.0.1 www.viewutility.com
127.0.0.1 viewutility.com
127.0.0.1 YouTube - Broadcast Yourself.
127.0.0.1 youtube.com

Zitat:

mskras.dll

Also, ich wollte was installieren, nämlich die regelmäßigen Windows-Updates, allerdings taucht in dem System Tray immer nur kurz das Symbol auf und dann ist es wieder weg...

MfG

Danke für die schnelle und kompetente Hilfe!

EDIT: Hier noch der HJT Log:
-------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:12, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Razer\Krait\razerhid.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Programme\Java\jre1.6.0_04\bin\jusched.exe
E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\Programme\Razer\Krait\razerofa.exe
D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\WINDOWS\System32\svchost.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Razer | For Gamers. By Gamers.™ | Gaming Hardware
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ekvgsnw - {60570909-486A-4609-B7AE-CBCAA3831168} - (no file)
O4 - HKLM\..\Run: [Krait] D:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer = 192.168.1.1
O20 - Winlogon Notify: iifcbba - E:\WINDOWS\
O21 - SSODL: bxlrvps - {DB7D5ED2-AF9D-4745-AB98-3CA43DF3A3F8} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - E:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

----------------------
End of file - 6721 bytes

Zitat:

Zitat von andrew123

Jap, Datei ist Virenfrei, VirusTotal sagt 0%.

Na dann solltest du sie wohl wieder ihre Arbeit machen lassen.

Zitat:

Im Ordner "XXXXprivacy_danger" sind dieselben Dateien, wie im vom Smitfraud ständig erstellten "privacy_danger" Ordner, ich hatte lediglich mal versucht, den Ordner umzubenennen, was nichts brachte, aber nun kann ich ja den Ordner löschen.

Achso. Und ich dachte der Trojaner hätte sein eigenes Backup erstellt.
Dann tu das mal.

Zitat:

Also meiner Meinung nach sehen die Hosts recht normal aus:

Nur wenn du nicht auf youtube zugreifen können möchtest. Aber wenn du die Einträge kennst, kannst du das File gern so lassen wie du willst.

Zitat:

Also, ich wollte was installieren, nämlich die regelmäßigen Windows-Updates, allerdings taucht in dem System Tray immer nur kurz das Symbol auf und dann ist es wieder weg...

Ja, dann mach die Umbennenung mal rückgängig und schau ob das klappt.
Könntest du mir bitte den Link geben zu dem Tool, das du installiert hast?

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2]UltimateCleaner 2007
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ekvgsnw - {60570909-486A-4609-B7AE-CBCAA3831168} - (no file)
O20 - Winlogon Notify: iifcbba - E:\WINDOWS\
O21 - SSODL: bxlrvps - {DB7D5ED2-AF9D-4745-AB98-3CA43DF3A3F8} - (no file)

Die Einträge bitte noch mit HijackThis fixen (Hijackthis starten->Do a system scan only->Haken bei den genannten Einträgen setzen->auf Fix checked klicken), ein neues Log erstellen und hier posten.

lg myrtille

Zitat:

Zitat von myrtille

Na dann solltest du sie wohl wieder ihre Arbeit machen lassen.

Jop, is wieder im Originalordner.

Zitat:

Zitat von myrtille

Achso. Und ich dachte der Trojaner hätte sein eigenes Backup erstellt.
Dann tu das mal.

Schon passiert.

Zitat:

Zitat von myrtille

...Aber wenn du die Einträge kennst, kannst du das File gern so lassen wie du willst.

Ja, ich kenn ja alles, dann lass ich das mal so.

Zitat:

Zitat von myrtille

...Könntest du mir bitte den Link geben zu dem Tool, das du installiert hast?

Ich meinte die Windows internen Updates. Das Symbol von dem Programm, was meinen PC immer "up to date" hält, verschwindet nach ein paar Sekunden, somit lädt er jetzt keine Windows-Updates mehr...

Zitat:

Zitat von myrtille

Die Einträge bitte noch mit HijackThis fixen..., ein neues Log erstellen...

Da isses:
--
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:46, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Razer\Krait\razerhid.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Programme\Java\jre1.6.0_04\bin\jusched.exe
E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
D:\Programme\Razer\Krait\razerofa.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\ICQ6\ICQ.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\Programme\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://www.razerzone.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Krait] D:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "E:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h++p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0811FBD-8AF4-433F-8874-D8D7112053B9}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - E:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6334 bytes

MfG

P.S.:

Zitat:

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - E:\Programme\Bonjour\mDNSResponder.exe (file missing)

Soll ich das auch noch fixen, war 1. von diesem Bonjour Virus Blödsinn und 2. kann der da sowieso keine Datei zuordnen...?