Unbekanntes Problem, nach behebung von "XP antispyware 2009"

Gismoh · 20.10.2008, 16:56

--> AV Scan .. von vorgestern:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 18. Oktober 2008 18:21

Es wird nach 1688451 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: IRINA

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 07:59:58
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 07:59:58
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 07:59:58
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 07:59:58
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 08:52:20
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 08:54:14
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 07:43:44
ANTIVIR3.VDF : 7.0.7.51 266752 Bytes 16.10.2008 05:09:03
Engineversion : 8.2.0.5
AEVDF.DLL : 8.1.0.6 102772 Bytes 17.10.2008 05:09:15
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 17.10.2008 05:09:13
AESCN.DLL : 8.1.1.3 123252 Bytes 17.10.2008 05:09:13
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 18:49:06
AEPACK.DLL : 8.1.2.4 369014 Bytes 17.10.2008 05:09:12
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 17.10.2008 05:09:06
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 18:49:04
AEHELP.DLL : 8.1.1.2 115062 Bytes 17.10.2008 05:09:06
AEGEN.DLL : 8.1.0.41 319861 Bytes 17.10.2008 05:09:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 05:09:05
AECORE.DLL : 8.1.2.6 172406 Bytes 17.10.2008 05:09:04
AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 05:09:03
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 07:59:58
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 07:59:58
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 12:59:06
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 07:59:58
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 04:48:29
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 07:59:57
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 04:48:30
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 07:59:58
NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 04:48:29
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 07:59:54
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 07:59:54

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 18. Oktober 2008 18:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'casino.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '63' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\Binaries1.cab2
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fc3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Binaries1.cab3
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fca.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Binaries1.cab4
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fd5.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Binaries2.cab3
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fd6.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Binaries2.cab4
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fd7.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Binaries2.cab5
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49680fd8.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DC8J5UT8\Binaries2[1].cab
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49681074.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FNELB6LA\Install[1].exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496d10d6.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IECO8CVY\Binaries1[1].cab
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49681154.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\karna.dat
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496c17a4.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\karna.dat
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496c1a56.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\wini10801.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49681a8a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\_scui.cpl
[FUND] Ist das Trojanische Pferd TR/Fakealert.QE
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495d1a9d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dllcache\beep.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495f1a97.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\beep.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495f1ab3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Samstag, 18. Oktober 2008 19:18
Benötigte Zeit: 57:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7577 Verzeichnisse wurden überprüft
257994 Dateien wurden geprüft
19 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
15 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
15 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
257972 Dateien ohne Befall
3999 Archive wurden durchsucht
7 Warnungen
15 Hinweise

Gismoh · 20.10.2008, 17:04

--> c-cleaner ... hab ich nur die datei hier gefunden, hoffe das die richtig ist, sonst ist keine weitere mehr vorhanden, im Programm Ordner:

Zitat:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.ccd]
"Application"="VCDMount.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.dvd]
"Application"="VCDMount.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.fb]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.fb\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.itms]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.itms\OpenWithProgids]
"iTunes.itms"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.itpc]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.itpc\OpenWithProgids]
"iTunes.itpc"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.jp2]
@="PI3.Image"
"ProgID"="PI3.Image"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.jpc]
@="PI3.Image"
"ProgID"="PI3.Image"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.m4a]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.m4a\OpenWithProgids]
"Nokia.m4a"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.m4v]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.m4v\OpenWithProgids]
"iTunes.m4v"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.mox]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.mox\OpenWithList]
"a"="Moras.exe"
"MRUList"="ab"
"b"="iexplore.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.mox\OpenWithProgids]
"mox_auto_file"=hex(0):
"Moras.Character"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.npl]
"ProgID"="Nokia.MultimediaPlaylist"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.nrv]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.nrv\OpenWithList]
"a"="nero.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.nrv\OpenWithProgids]
"NeroVideoType"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.pcast]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.pcast\OpenWithProgids]
"iTunes.pcast"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.pcd]
@="PI3.Image"
"ProgID"="PI3.Image"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.pcx]
@="PI3.Image"
"ProgID"="PI3.Image"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.QIF]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.QIF\OpenWithList]
"a"="firefox.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.r01]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.r01\OpenWithList]
"a"="vlc.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.r05]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.r05\OpenWithList]
"a"="firefox.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.rar]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.rar\OpenWithList]
"a"="NeroMediaPlayer.exe"
"MRUList"="debca"
"b"="iexplore.exe"
"c"="vlc.exe"
"d"="firefox.exe"
"e"="msnmsgr.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rar\OpenWithProgids]
"rar_auto_file"=hex(0):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.srt]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.srt\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.udf]
"Application"="VCDMount.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.user]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.user\OpenWithList]
"a"="firefox.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.VCD]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\*\Explorer\FileExts\.VCD\OpenWithList]
"a"="vlc.exe"
"MRUList"="a"

[HKEY_CLASSES_ROOT\Icq.XtraApi]

[HKEY_CLASSES_ROOT\Icq.XtraApi\CLSID]
@="{95E8BB28-911A-45CE-9AE8-EC05FA106D2F}"

[HKEY_CLASSES_ROOT\MISB.DhtmlPluginWrapper]

[HKEY_CLASSES_ROOT\MISB.DhtmlPluginWrapper\CLSID]
@="{8D18DFF4-0943-4347-8BCA-0C57033F6820}"

[HKEY_CLASSES_ROOT\MXtra.DhtmlWrapper]

[HKEY_CLASSES_ROOT\MXtra.DhtmlWrapper\CLSID]
@="{8D18DFF4-0943-4347-8BCA-0C57033F6820}"

*******************************

So dann kommen nun die Sachen, die ich jetzt machen soll:

--> Silent Runner Log:

Zitat:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\*\Run\ {++}
"PeerGuardian" = "C:\Programme\PeerGuardian2\pg2.exe" ["Methlabs"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

teil 2 folgt unten ... hab leider die 25k zeichen überschritten

Gismoh · 20.10.2008, 17:06

Zitat:

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{Prevent access to registry editing tools}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NeroAutoPlay7AudioToNeroDigital\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog:SaveTracks /Drive:%L" ["Nero AG"]

NeroAutoPlay7CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /New:AudioCD" ["Nero AG"]

NeroAutoPlay7CopyCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "PlayMusicFilesOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\PlayMusicFilesOnArrival_CopyCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog

iscCopy /Drive:%L" ["Nero AG"]

NeroAutoPlay7DataDisc\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /New:ISODisc /Drive:%L" ["Nero AG"]

NeroAutoPlay7RipCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay7"
"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay7\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog:SaveTracks /Drive:%L" ["Nero AG"]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

Startup items in "******" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\******\Startmenü\Programme\Autostart
"OneNote 2007 Bildschirmausschnitt- und Startprogramm" -> shortcut to: "C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE /tsr" [MS]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}\(Default) = "Groove Folder Synchronization"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{0026439F-A980-4F18-8C95-4F1CBBF9C1D8}\
"ButtonText" = "IE7Pro Preferences"
"MenuText" = "IE7Pro Preferences"
"CLSIDExtension" = "{B119EB0C-C021-46CF-85B0-34A760E0D5FE}"
-> {HKLM...CLSID} = "IE7Pro ToolsExt"
\InProcServer32\(Default) = "C:\Programme\IE7Pro\IE7Pro.dll" ["IE7Pro.com"]

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll" [MS]

{49783ED4-258D-4F9F-BE11-137C18D3E543}\
"ButtonText" = "Titan Poker"
"MenuText" = "Titan Poker"
"Exec" = "C:\Poker\Titan Poker\casino.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{F47C1DB5-ED21-4DC1-853E-D1495792D4C5}\
"ButtonText" = "Bodog Poker"
"Exec" = "C:\Poker\Bodog Poker\BPGame.exe" ["Bodog"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]

---------- (launch time: 2008-10-20 17:29:55)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 54 seconds, including 8 seconds for message boxes)

--> Spy Bot-S&D ... finde ich keine Log.. ka ob es da eine gibt, wenn ja bitte kurz angeben wo, dann poste ich die noch. Hab im Verzeichnis gesucht, aber nichts gefunden

--> Malwarebytes Antimalware MAM ... ich hab die .exe runtergeladen (aufen Desktop) und hab die dann ausgeführt mit doppelklick... es folgt ne Fehler Meldung: .......\Desktop\mbam-setup.exe ist keine zulässige Win32 Anwendung
Ich hab versucht auf die Main Page zu kommen von dem Programm, aber die läd er bei mir garnicht... :/ habs auch mehrmals versucht, neu zu saugen und so... aber nichts. ka wieso...

hab das Prog. auch bei google gesucht und sobald ich da auf nen link drücke.. komme ich wieder auf der Google Startseite

--> Host file ... ich hoffe ich hab das richtig gemacht, bin einfach auf "Ausführen" hab den link eingegeben ... und die datei mit dem editor geöffnet. Da steht ja net wirklich viel drin, aber hier is Sie:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

**ende**

und die HijackThis Log ist ja oben im ersten Post.
wieso das MAM nichts funktioniert... ka

Ich hoffe das hilft euch weiter um das Problem zu fokussieren ;O)

Ina

Gismoh · 20.10.2008, 20:26

ne kleine Sache noch ... hab mal nen Speedtest gemacht von meinem dsl:

Download-Geschwindigkeit: [++]

6.389 kbit/s

(799 kByte/s)
Upload-Geschwindigkeit: [-]

23 kbit/s

(3 kByte/s)

wie man sieht is der upload total im keller, denke mal das is der Grund... nur wieso... dsl is die ganzen letzte Tag perfekt gewesen keine probs und seit der Trojaner drauf war, is der im Keller...

Gismoh · 21.10.2008, 02:32

hier nochmal eine Log Datei von Spyware fighter ... die Dateien konnten in die Quarantäne geschoben werden, teilweise... wenn man sie löschen will, werden se net gelöscht sondern sind wieder aktiv. Wenn ich se in der quarantäne lasse, is die dsl geschwindigkeit wieder normal, nur das mit den seltsamen werbelinks, wo man hin geleitet wird wenn man nen link anklickt oder was aus den favoriten, is geblieben.

Zitat:

[Mon Oct 20 21:32:38 2008
]-Started by user
[Mon Oct 20 21:32:38 2008
]-Windows XP Service Pack 3
[Mon Oct 20 21:32:38 2008
]-Begin memory scan
[Mon Oct 20 21:33:10 2008
]-Begin registry scan
[Mon Oct 20 21:33:28 2008
]-Infection detected. File: HKLM\SOFTWARE\ashampoo\DRIVER2\MAPPINGS\LITE-ON LTR-512, type:Adware.CoolWebSearch
[Mon Oct 20 21:33:28 2008
]-Begin directory scan:C:
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: HKLM\SOFTWARE\ashampoo\DRIVER2\MAPPINGS\LITE-ON LTR-512, type:Adware.CoolWebSearch
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.14:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Doubleclick
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.16:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Adtiger
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.17:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Adtiger
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.18:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Adtiger
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.19:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Adtiger
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.23:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.2o7
[Mon Oct 20 23:35:54 2008
]-Infection detected. File: :mozilla.34:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, type:TrackingCookie.Ivwbox
[Mon Oct 20 23:36:53 2008
]-Quarantined file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Deleted infected file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Failed to quarantine file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt
[Mon Oct 20 23:36:53 2008
]-Failed to delete the file: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\zyojvgu3.default\cookies.txt, error code: 2
[Mon Oct 20 23:36:53 2008
]-Scan completed

Ich hoffe mir kann einer helfen, bitte

Chris4You · 21.10.2008, 07:06

Hi,

mir schwant da was...

Verzeichnis C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp vollständig löschen und Papierkorb leeren!

MBR-Rootkit-Suche:
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Poste alle Logs;
Du hast verschiedene Scanner auf Deinem Rechner die sich gegenseitig stören, entscheide Dich für einen und deinstalliere den Rest...

chris

Gismoh · 22.10.2008, 01:07

- Temp Ordner wurde komplett geleert
- MBR-Rootkit ... dein Link funktioniert nicht, habs aber bei google gefunden und von ner Uni Seite runter geladen.
Hier das Ergebnis : Directupload.net - Dk5wjberr.jpg
hat irgendwie nicht geklappt...
- Combofix ... der Link funzt ebenfalls nicht. Habs auch nicht nach ner 30 minütigen Suche bei google/yahoo gefunden. Alle Links sind tot
- ich habe soweit alle Scanner runter geschmissen, ausser HijackThis und die ich hier runter laden sollte
- Avira-Antirootkit .. hier die Log .. habe alle gefundenen Dateien in die quarantäne geschoben

Code:

ATTFilter

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
 - Scan started Mittwoch, 22. Oktober 2008 - 01:39:32
========================================================================================================

--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 149.04 GB
 - Working disk free size : 39.82 GB (26 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden file : c:\dokumente und einstellungen\*\lokale einstellungen\temp\tdss4210.tmp
Hidden file : c:\dokumente und einstellungen\*\lokale einstellungen\temp\tdss4220.tmp
Hidden file : c:\windows\system32\tdssktkl.dll
Hidden file : c:\windows\system32\tdsslajf.dll
Hidden file : c:\windows\system32\tdssnmxh.log
Hidden file : c:\windows\system32\tdssoxum.dll
Hidden file : c:\windows\system32\tdssshkx.dll
Hidden file : c:\windows\system32\tdssurxb.dll
Hidden file : c:\windows\system32\tdssweat.dat
Hidden file : c:\windows\system32\tdssxehj.dll
Hidden file : c:\windows\system32\drivers\tdsspcuu.sys
Hidden key : HKEY_LOCAL_MACHINE\Software\tdss
Hidden key : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\tdssdata
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal\tdsspcuu.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network\tdsspcuu.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv -> imagepath
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Minimal\tdsspcuu.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Network\tdsspcuu.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv -> imagepath

--------------------------------------------------------------------------------------------------------
Files: 11/79716
Registry items: 14/279081
Processes: 0/31
Scan time: 00:05:29
--------------------------------------------------------------------------------------------------------
Active processes:
  - iynptmed.exe     (PID 2352) (Avira AntiRootkit Tool - Beta)
  - System           (PID 4)
  - smss.exe         (PID 608)
  - csrss.exe        (PID 680)
  - winlogon.exe     (PID 708)
  - services.exe     (PID 756)
  - lsass.exe        (PID 768)
  - svchost.exe      (PID 932)
  - svchost.exe      (PID 1048)
  - svchost.exe      (PID 1140)
  - svchost.exe      (PID 1192)
  - svchost.exe      (PID 1244)
  - svchost.exe      (PID 1296)
  - spoolsv.exe      (PID 1552)
  - explorer.exe     (PID 1812)
  - avgnt.exe        (PID 1904)
  - pg2.exe          (PID 1928)
  - ctfmon.exe       (PID 1936)
  - sched.exe        (PID 2024)
  - avguard.exe      (PID 2040)
  - nvsvc32.exe      (PID 224)
  - ConfigService.exe (PID 260)
  - slserv.exe       (PID 464)
  - svchost.exe      (PID 536)
  - LicenseService.exe (PID 1292)
  - UpdateService.exe (PID 1332)
  - ScannerService.exe (PID 1620)
  - wmiprvse.exe     (PID 1772)
  - firefox.exe      (PID 2204)
  - alg.exe          (PID 2780)
  - avirarkd.exe     (PID 2496)
========================================================================================================
 - Scan finished  Mittwoch, 22. Oktober 2008 - 01:45:02
========================================================================================================

PS: wie kann ich meine Beiträge da oben editieren ? hier bei dem letzten is ein Buttom dafür da, aber bei den älteren nicht. Will die Log´s in son [CODE] Kasten rein setzen anstatt in nem [quote] ... Danke

Unbekanntes Problem, nach behebung von "XP antispyware 2009"

Plagegeister aller Art und deren Bekämpfung: Unbekanntes Problem, nach behebung von "XP antispyware 2009"