Hallo Leute,

ich habe eine kleine Frage. Ich war mit dem Computer meiner Mutter im Internet. Daraufhin hat sich ständig ZoneAlarm gemeldet und einen Port-Zugriff gemeldet, alle paar Sekunden, die Ports wurden durchgezählt. Ich dachte schon, ich hätte ein Problem, hab Avast, Spybot, Malwarebytes, Dr. Web Bootscan und Bitdefender drüberlaufen lassen, die haben aber alle nichts gefunden und die Ports wurden jedes mal, wenn ich online war weiter druchgezählt.

Daraufhin habe ich mit der Systemwiederherstellung einen alten Wiederherstellungspunkt gewählt. Danach hat das Port-zählen bei ZoneAlarm aufgehört. Spaßenshalber habe ich mal einen Blick in die Registry geworfen (hab nichts angefaßt, kenn mich da auch nicht mit aus), und eine Reihe sonderbarer Einträge gefunden, die wie Internet-Adressen aussehen. Hier mal ein paar Bildchen.

Hier ist ein hjt logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:49, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Pocket Web Sync\PocketWebSync.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Waltraud\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OgoSync] C:\Programme\Pocket Web Sync\PocketWebSync.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.pcwelt.de/_misc/bitdefender/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7898 bytes

Es wäre wirklich toll, wenn einer von Euch drüberschauen könnte und mir sagen kann, ob ich da ein Problem habe.

Liebe Grüße,
tapsi

hi,

das HJ-Log zeigt nichts auffälliges...

chris

Hallo Chris,

danke für Deine schnelle Antwort. *uff* Das ist ja schon mal gut.

Und so komische Einträge in der Registry sind normal? Oder zumindest unschädlich?
Ich kenn mich mit Registry nicht aus, hab nur spaßenshalber reingeschaut, weil das mit der Systemwiederherstellung geklappt hat.

tapsi

Hey tapsi.

In welchem Ordner sind die Einträge zu finden?
Das sieht mir nach einen Spybot-Anschlag aus. Das Programm ist nicht so besonders toll... Solltest du deinstallieren!

Poste mal bitte einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.
Tauchen da die gleichen Einträge unter 032 033 redirected auf? Wenn ja dann stammen sie in der Tat von Spybot.

Hallo undoreal,

hm, Spybot hatte ich schon gelöscht, ist auch unter Systemsteuerung > Software nicht mehr zu finden. Allerdings ist der "TeaTimer" noch in C:/Programme/Spybot. Kann ich den einfach so löschen ohne ein uninstal.exe zu haben?

Die Einträge sind in der Registry im Ordner
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.

Willst Du wirklich den ganzen iclean-Bericht haben?
Ich habe die 032 und die 033 Einträge größtenteils rausgelöscht, aber der Bericht hat, wenn man ihn in Word kopiert, immer noch 203 Seiten. Fast alles, nämlich ab Seite 6, sind Einträge unter 127.0.0.1.

Aber die Einträge unter 032 und 033 sind größtenteils dieselben.

Hier mal nur mit dem Anfang von 127.0.0.1:

iclean log 24.02.2009 11:19:07

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3360 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2396 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
876 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.008i.com
032=RestrictedZOne: *.010402.com
032=RestrictedZOne: *.17-plus.com
032=RestrictedZOne: *.171203.com
032=RestrictedZOne: *.20x2p.com
032=RestrictedZOne: *.2ndpower.com
032=RestrictedZOne: *.3721.com
032=RestrictedZOne: *.39-93.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZOne: *.008i.com
033=RestrictedZOne: *.010402.com
033=RestrictedZOne: *.17-plus.com
033=RestrictedZOne: *.171203.com
033=RestrictedZOne: *.20x2p.com
033=RestrictedZOne: *.2ndpower.com
033=RestrictedZOne: *.3721.com
033=RestrictedZOne: *.39-93.com

...noch viel mehr 033 (gelöscht)

032=RestrictedZone: install.007guard.com
032=RestrictedZone: the.007guard.com
032=RestrictedZone: w*w.007guard.com
032=RestrictedZone: w*w.install.007guard.com
032=RestrictedZone: w*w.the.007guard.com
032=RestrictedZone: w*w.008k.com
032=RestrictedZone: w*w.00hq.com
032=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
032=RestrictedZone: w*w.032439.com
032=RestrictedZone: w*w.0scan.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZone: install.007guard.com
033=RestrictedZone: the.007guard.com
033=RestrictedZone: w*w.007guard.com
033=RestrictedZone: w*w.install.007guard.com
033=RestrictedZone: w*w.the.007guard.com
033=RestrictedZone: w*w.008k.com
033=RestrictedZone: w*w.00hq.com
033=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
033=RestrictedZone: w*w.032439.com
033=RestrictedZone: w*w.0scan.com

...noch viel mehr 033 (gelöscht)


Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 w*w.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 w*w.008k.com
127.0.0.1 008k.com
127.0.0.1 w*w.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 w*w.032439.com
127.0.0.1 032439.com
127.0.0.1 w*w.0scan.com

Liebe Grüße,
tapsi

Jo, da war Spybot am Werk. Deinstalliere den Mist!
Überprüfe danach wiederum mit iClean ob die 032 und 033 Einträge sowie die 127.0.0.1 localhost gelöscht wurden.

Ui, hab gerade gesehen, da steht ja drüber:

Zitat:
127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy

Dann war das wohl wirklich das gemeingefährliche Spybot, unverschämtes Ding.

tapsi

Folgende Einträge solltest du mit iClean reparieren lassen:

Zitat:

030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)

PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.

Wie gesagt: Deinstalliert ist Spybot schon, kein Eintrag mehr unter Systemsteuerung > Software, aber in c:/Programme/Spybot sind noch Ordner. Da ist zwar keine spybot.exe oder so, aber der TeaTimer ist noch da. Wenn ich den Ordner in C: jetzt einfach lösche, sind die Einträge ja weiter in der Registry. Oder soll ich die einfach drin lassen? Ist halt arg unübersichtlich...

Liebe Grüße,
tapsi

Oh, da ist ja schon wieder ein Tip. Das werd ich gleich mal reparieren.

Hmpf. Das ist mal wieder super.
Bevor wir das manuell versuchen mach mal folgendes:
Installiere Spybot wieder
und führe die Immunisierung durch. Ich hab' jetzt hier grade keines installiert aber ich erinnere mich dunkel, dass es da eine Option gab um alle Änderungen rückgängig zu machen die Spybot veranstalltet hat.
Nutze diese Option.

Nun sind die Einträge hoffentlich weg.?

Hab auf "repair" gedrückt. Daraufhin hat iclean gesagt, es wäre unable to repair


HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}


Die Einträge, die Du genannt hast, sind jetzt aber beide nicht mehr in der iclear-Ansicht drin.

tapsi