Nerviges Zeichen in der Taskleiste neben der Uhr

GuuudeLaune · 21.03.2008, 15:16

Hallo Leute ich habe in meiner Taskleiste so ein nerviges Symbol da erscheint dann auch immer ein Fenster und wenn man das nicht am X trifft zum schließen öffnet eine Homepage die ich aber schon habe sperren lassen
Jetzt wollte ich mal wissen wie ich das Ding los werde ohne meinen PC komplett plätten zu müssen!

PS: Den Text des Berichts und das Ergebnis des Scans poste ich später noch

**Sunny** · 21.03.2008, 15:21

Hallo und Willkommen!

Gemäß der Nutzungsbedingungen dieses Forums solltest du folgende Regeln nochmals durchlesen und befolgen, nur so ist eine optimal Hilfe sichergestellt:

Zitat:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Desweiteren:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

GuuudeLaune · 22.03.2008, 12:21

Hallo Leute ich habe in meiner Taskleiste so ein nerviges Symbol da erscheint dann auch immer ein Fenster und wenn man das nicht am X trifft zum schließen öffnet eine Homepage die ich aber schon habe sperren lassen
Jetzt wollte ich mal wissen wie ich das Ding los werde ohne meinen PC komplett plätten zu müssen!

PS: Den Text des Berichts und das Ergebnis des Scans poste ich später noch

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tkosvv.dll

.
((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 )))))))))))))))))))))))))))))))
.

2008-03-22 12:01 . 2008-03-22 12:01 708 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-22 11:59 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-22 11:59 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-22 11:59 . 2008-03-14 09:09 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-22 11:59 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-22 11:59 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-22 11:59 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-22 11:59 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-21 14:50 . 2008-03-21 14:50 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-03-21 14:46 . 2008-03-21 14:46 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\vlc
2008-03-19 19:51 . 2008-03-21 11:00 <DIR> d-------- C:\Programme\Babylon
2008-03-19 19:51 . 2008-03-19 21:49 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Babylon
2008-03-19 19:51 . 2008-03-22 12:11 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
2008-03-18 20:01 . 2008-03-18 22:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-18 20:01 . 2008-03-18 20:01 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-12 20:47 . 2008-03-12 20:47 138,032 --a------ C:\WINDOWS\~GLC0000.TMP
2008-03-03 22:35 . 2008-03-03 22:35 <DIR> d-------- C:\Programme\EA GAMES
2008-03-03 22:25 . 2002-12-12 00:14 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-03-03 22:25 . 2002-12-12 00:14 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-03-02 02:56 . 2008-03-02 02:58 <DIR> d-------- C:\WINDOWS\nview
2008-03-02 02:56 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-02 02:56 . 2008-03-22 12:10 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-02 02:56 . 2006-10-22 12:22 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-02 02:55 . 2006-10-22 15:06 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-03-02 02:54 . 2008-03-02 02:54 <DIR> d----c--- C:\NVIDIA
2008-03-02 02:25 . 2008-03-02 02:25 <DIR> d-------- C:\Programme\SystemRequirementsLab
2008-03-02 02:25 . 2008-03-02 02:25 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\SystemRequirementsLab
2008-03-01 20:07 . 2008-03-01 20:07 88 --a------ C:\WINDOWS\galaxy.ini
2008-03-01 20:00 . 2008-03-01 20:00 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\pokerth
2008-03-01 19:32 . 2008-03-01 19:34 <DIR> d-------- C:\Programme\PokerTH
2008-03-01 19:32 . 2008-03-01 19:44 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\.bitrock
2008-03-01 19:01 . 2008-03-01 19:01 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Warsow
2008-03-01 15:18 . 2008-03-01 15:18 21,855 --a------ C:\WINDOWS\system32\TuneUpDefragService_20080301-141819.dmp
2008-03-01 14:12 . 2008-03-01 14:15 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-01 14:12 . 2008-03-01 14:12 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TuneUp Software
2008-03-01 14:12 . 2008-03-01 14:12 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-01 14:12 . 2008-03-01 14:12 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-01 14:12 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-01 14:11 . 2008-03-01 14:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-24 08:34 . 2003-04-18 16:46 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2008-02-24 08:34 . 2003-04-18 16:29 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2008-02-24 08:34 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-02-24 08:33 . 2008-02-24 08:33 <DIR> d-------- C:\Programme\MAGIX
2008-02-24 08:33 . 2008-02-24 08:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-02-24 08:33 . 2008-02-24 08:34 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-02-24 08:32 . 2008-03-21 11:00 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-02-24 08:32 . 2008-02-24 08:33 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-02-23 18:31 . 2008-03-21 14:45 <DIR> d-------- C:\Programme\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-21 10:06 --------- d-----w C:\Programme\Winamp
2008-03-16 15:04 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\OpenOffice.org2
2008-03-12 19:47 138,032 ----a-w C:\WINDOWS\~GLC0000.TMP
2008-03-02 01:55 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-16 16:34 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OLYMPUS
2008-02-16 16:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-16 16:33 --------- d-----w C:\Programme\OLYMPUS
2008-02-16 16:32 --------- d-----w C:\Programme\QuickTime
2008-02-16 16:31 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-02-15 08:55 721,408 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-02-07 15:24 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\scar5
2008-02-07 12:04 --------- d-----w C:\Programme\Lavalys
2008-02-07 10:23 --------- d-----w C:\Programme\Yahoo!
2008-02-07 10:21 --------- d-----w C:\Programme\Ubi Soft
2008-02-07 10:20 --------- d-----w C:\Programme\DivX
2008-02-02 16:34 --------- d-----w C:\Programme\Smallvideosoft
2008-01-25 19:15 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-01-19 16:06 72,748 ----a-w C:\WINDOWS\unins000.exe
2008-01-09 13:08 258,048 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-11-27 21:02 3,731,968 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-11-27 21:02 1,567,232 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-11-02 13:00 16,244,246 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_01_19_21_08_full.dmp.zip
2007-11-01 04:21 11,661,484 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_31_16_06_53_full.dmp.zip
2007-10-30 13:33 7,571,522 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_29_16_05_10_full.dmp.zip
2007-07-19 23:18 44,684 ----a-w C:\Programme\dxdllreg_x86.cab
2007-07-19 22:48 86,709 ----a-w C:\Programme\dxupdate.cab
2007-07-19 22:48 77,160 ----a-w C:\Programme\DSETUP.dll
2007-07-19 22:48 503,144 ----a-w C:\Programme\DXSETUP.exe
2007-07-19 22:48 13,265,040 ------w C:\Programme\dxnt.cab
2007-07-19 22:48 1,673,576 ----a-w C:\Programme\dsetup32.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"ZoneAlarm Stub Program for ZAPro"="C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" [2007-03-09 01:02 50928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"Babylon Client"="C:\Programme\Babylon\Babylon-Pro\Babylon.exe" [2008-03-06 13:14 3551456]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-28 13:54 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 02:43 13312]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2006-10-31 16:07 262184 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-12-05 21:55 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-11-15 15:18 1670144 C:\Programme\Messenger\MSMSGS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2006-11-23 14:10 56928 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2006-11-22 12:30]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2006-11-22 12:30]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 20:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-01 14:12]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contents of the 'Scheduled Tasks' folder
"2008-03-22 11:10:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 12:11:04
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Completion time: 2008-03-22 12:13:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-22 11:13:22
.
2007-09-22 08:02:03 --- E O F ---

SmitFraudFix v2.306

Scan done at 12:18:48,86, 22.03.2008
Run from C:\Dokumente und Einstellungen\Martin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Martin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Martin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Martin\FAVORI~1

C:\DOKUME~1\Martin\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AB23AF6B-ED2D-430F-A859-4B4946ABC5E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AB23AF6B-ED2D-430F-A859-4B4946ABC5E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AB23AF6B-ED2D-430F-A859-4B4946ABC5E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Logfile of HijackThis v1.99.1
Scan saved at 12:21:16, on 22.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Martin\LOKALE~1\Temp\Rar$EX00.574\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ZoneAlarm Stub Program for ZAPro] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

**Sunny** · 22.03.2008, 13:11

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Dann das System updaten, dir fehlt immer noch das Service Pack2:

(Bitte mit dem Internet Explorer öffenen!)

Microsoft Windows Update

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

GuuudeLaune · 22.03.2008, 15:46

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 22. März 2008 15:45:53
Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 22/03/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 654514
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 40623
Viren gefunden: 3
Infizierte Objekte gefunden: 16
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:24:47

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\1q4sn7pb.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\ICQ Lite\233745904\Red Scorpion_301200761\Pamela.exe Infizierte Objekte: not-virus:Hoax.Win32.ComputerSchock übersprungen
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\Perflib_Perfdata_82c.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Martin\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\tkosvv.dll.vir Infizierte Objekte: Trojan-Downloader.Win32.Bojo.p übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153727.dll Infizierte Objekte: Trojan-Downloader.Win32.Bojo.p übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153777.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153777.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153777.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153778.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153778.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153778.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153779.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153779.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP179\A0153779.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP180\A0153902.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP180\A0153902.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP180\A0153902.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP180\A0153911.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP181\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{126D0155-4173-43C5-A649-72B21CB02FD9}\RP181\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

GuuudeLaune · 22.03.2008, 16:18

Ad-Aware SE Build 1.06r1
Logfile Created on:Samstag, 22. März 2008 15:51:39
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R210 27.12.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):33 total references
Tracking Cookie(TAC index:3):14 total references
Win32.Trojandownloader.Zlob(TAC index:10):14 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

22.03.2008 15:51:39 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Martin\recent
Description : list of recently opened documents

MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer

MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk

MRU List Object Recognized!
Location: : S-1-5-21-1606980848-1563985344-1343024091-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 468
ThreadCreationTime : 22.03.2008 12:16:16
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 516
ThreadCreationTime : 22.03.2008 12:16:17
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 22.03.2008 12:16:20
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 584
ThreadCreationTime : 22.03.2008 12:16:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 596
ThreadCreationTime : 22.03.2008 12:16:21
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 776
ThreadCreationTime : 22.03.2008 12:16:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 828
ThreadCreationTime : 22.03.2008 12:16:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1000
ThreadCreationTime : 22.03.2008 12:16:22
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1028
ThreadCreationTime : 22.03.2008 12:16:22
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1256
ThreadCreationTime : 22.03.2008 12:16:27
BasePriority : Normal
FileVersion : 5.1.2600.1699 (xpsp2.050610-1533)
ProductVersion : 5.1.2600.1699
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 1932
ThreadCreationTime : 22.03.2008 12:16:31
BasePriority : Normal
FileVersion : 0.1.0.4279
ProductVersion : 0.1.0.4279
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2007
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:12 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 260
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:13 [avguard.exe]
FilePath : C:\Programme\AntiVir PersonalEdition Classic\
ProcessID : 276
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal

GuuudeLaune · 22.03.2008, 16:19

#:14 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 400
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal
FileVersion : 6.14.10.9371
ProductVersion : 6.14.10.9371
ProductName : NVIDIA Driver Helper Service, Version 93.71
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 93.71
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:15 [richvideo.exe]
FilePath : C:\Programme\CyberLink\Shared Files\
ProcessID : 428
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal
FileVersion : 1.1.0808
ProductVersion : 1.1.0808
ProductName : RichVideo Module
FileDescription : RichVideo Module
InternalName : RichVideo
LegalCopyright : Copyright 2004
OriginalFilename : RichVideo.EXE

#:16 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 492
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:17 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 116
ThreadCreationTime : 22.03.2008 12:16:34
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: dnsrv(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:18 [usnsvc.exe]
FilePath : C:\Programme\MSN Messenger\
ProcessID : 2424
ThreadCreationTime : 22.03.2008 12:18:46
BasePriority : Normal
FileVersion : 8.1.0178.00
ProductVersion : 8.1.0178
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger Sharing USN Journal Reader Service
InternalName : usnsvc.exe
LegalCopyright : Copyright (c) Microsoft Corporation. All rights reserved.
OriginalFilename : usnsvc.exe

#:19 [iexplore.exe]
FilePath : C:\Programme\internet explorer\
ProcessID : 1772
ThreadCreationTime : 22.03.2008 12:51:16
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

#:20 [taskmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1060
ThreadCreationTime : 22.03.2008 12:56:18
BasePriority : High
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Task-Manager
InternalName : taskmgr
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : taskmgr.exe

#:21 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1816
ThreadCreationTime : 22.03.2008 14:15:25
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:22 [firefox.exe]
FilePath : C:\Programme\Mozilla Firefox\
ProcessID : 2104
ThreadCreationTime : 22.03.2008 14:43:19
BasePriority : Normal

#:23 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 2700
ThreadCreationTime : 22.03.2008 14:50:43
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 33

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment : "{6ca49fdd-4aeb-4f08-a394-c0a1f82caa16}"
Rootkey : HKEY_USERS
Object : S-1-5-21-1606980848-1563985344-1343024091-1003\software\microsoft\internet explorer\toolbar\webbrowser
Value : {6ca49fdd-4aeb-4f08-a394-c0a1f82caa16}

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment : "{6ca49fdd-4aeb-4f08-a394-c0a1f82caa16}"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\toolbar
Value : {6ca49fdd-4aeb-4f08-a394-c0a1f82caa16}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 35

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 35

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@serving-sys[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:19
Value : Cookie:martin@serving-sys.com/
Expires : 31.12.2037 23:00:00
LastSync : Hits:19
UseCount : 0
Hits : 19

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@adtech[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:9
Value : Cookie:martin@adtech.de/
Expires : 13.11.2009 17:12:10
LastSync : Hits:9
UseCount : 0
Hits : 9

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@sevenoneintermedia.112.2o7[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:7
Value : Cookie:martin@sevenoneintermedia.112.2o7.net/
Expires : 03.11.2012 05:20:48
LastSync : Hits:7
UseCount : 0
Hits : 7

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@bs.serving-sys[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:5
Value : Cookie:martin@bs.serving-sys.com/
Expires : 31.12.2037 23:00:00
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@adfarm1.adition[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:3
Value : Cookie:martin@adfarm1.adition.com/
Expires : 01.01.2010 01:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@ivwbox[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:163
Value : Cookie:martin@ivwbox.de/
Expires : 04.11.2008 05:20:44
LastSync : Hits:163
UseCount : 0
Hits : 163

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@adverserve[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:19
Value : Cookie:martin@adverserve.net/
Expires : 01.01.2021 01:00:00
LastSync : Hits:19
UseCount : 0
Hits : 19

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@rambler[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:163
Value : Cookie:martin@rambler.ru/
Expires : 01.01.2010 01:00:00
LastSync : Hits:163
UseCount : 0
Hits : 163

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@adserver.71i[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:148
Value : Cookie:martin@adserver.71i.de/
Expires : 30.12.2037 17:00:00
LastSync : Hits:148
UseCount : 0
Hits : 148

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@msnportal.112.2o7[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:martin@msnportal.112.2o7.net/
Expires : 19.12.2012 20:11:12
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@advertising[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:11
Value : Cookie:martin@advertising.com/
Expires : 31.12.2012 20:31:12
LastSync : Hits:11
UseCount : 0
Hits : 11

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@real[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:333
Value : Cookie:martin@real.com/
Expires : 21.12.2037 14:23:42
LastSync : Hits:333
UseCount : 0
Hits : 333

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@atdmt[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:314
Value : Cookie:martin@atdmt.com/
Expires : 03.11.2012 01:00:00
LastSync : Hits:314
UseCount : 0
Hits : 314

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : martin@2o7[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:524
Value : Cookie:martin@2o7.net/
Expires : 19.03.2013 12:27:40
LastSync : Hits:524
UseCount : 0
Hits : 524

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 14
Objects found so far: 49

Deep scanning and examining files (C

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 49

Deep scanning and examining files (D

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 49

Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 49

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\contraviruspro.com

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\contraviruspro.com
Value : https

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\freerealitympegs.com

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\freerealitympegs.com
Value : https

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\hollywoodfiles.tv

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\hollywoodfiles.tv
Value : https

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\net-codec.com

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\net-codec.com
Value : https

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\plus-codec.com

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\escdomains\plus-codec.com
Value : https

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\online add-on

Win32.Trojandownloader.Zlob Object Recognized!
Type : File
Data : tracking.log
TAC Rating : 10
Category : Malware
Comment :
Object : c:\system volume information\

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 12
Objects found so far: 61

16:14:15 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:22:36.200
Objects scanned:158926
Objects identified:28
Objects ignored:0
New critical objects:28

Nerviges Zeichen in der Taskleiste neben der Uhr

Plagegeister aller Art und deren Bekämpfung: Nerviges Zeichen in der Taskleiste neben der Uhr