Trojaner-Board - Spotresults.com & Pop-Ups treiben mich in den Wahnsinn

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spotresults.com & Pop-Ups treiben mich in den Wahnsinn (https://www.trojaner-board.de/22072-spotresults-com-pop-ups-treiben-mich-wahnsinn.html)

aknox

22.09.2005 14:46

Spotresults.com & Pop-Ups treiben mich in den Wahnsinn

Hallo liebe Fachleute,

ich bin schon recht lange im Internet unterwegs und bisher konnten mir dank AntiViren-Software und dergleichen nicht wirklich ein Virus oder Adware bedrohen, aber diesmal haben sie es geschafft. Es poppen ständig so nervende Flash-Pop-Ups auf - egal ob ich den Browser auf habe oder nicht. Zudem werden meine Suchabfragen meist mit einem zusätzlichen Spotresults.com-Browser-Fenster "belohnt". Ich habe extra vergangene Woche PestPatrol bestellt, damit ich endlich die zahllosen Flash-PopUp-Fenster und Spotresults.com-Umleitungen wegbekomme, aber auch das Programm wird der Lage nicht herr.

Daher meine Anfrage an Euch ... habe das System mit allen frei erhältlichen Tools wie S&D, Adware, Hitman Pro, Spyware Sweeper, CWSShredder, Spyware Doctor checken lassen, aber ich bekomme es nicht weg. Es hat mich sicher schon 1 komplette Woche Arbeitszeit gekostet Auch mein AntiVir-Virenscanner findet nichts. CWSShredder meldet stets, dass ein Look2Me REMOVED wurde, jedoch egal wie oft (auch abgesicherter Modus mit abgestellter Systemwiederherstellung) ich den Shredder laufen lasse, es popt weiter munter up und wenn ich meinen IE oder Opera benutze, geht ständig spotresults oder searc-h.com auf. ... ach, den Windows-Nachrichtendienst habe ich mit XPAniSpy auch deaktiviert.

Ich ergebe mich ... und lass die Hosen runter / hijack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:23:57, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Winamp\winampa.exe
E:\installprogz\OmniPage\opware32.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\TBLMOUSE.EXE
E:\instal~3\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\INSTALLPROGZ\sipgate X-Lite\sipgateXLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\FRITZ!\FriFax32.exe
E:\INSTALLPROGZ\WinTVMPEG\Ir.exe
C:\WINDOWS\system32\javaw.exe
E:\INSTALLPROGZ\TYPSoft FTP Server\ftpserv.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\WinBar\WinBar.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\INSTALLPROGZ\MS AntiSpyware Beta\gcasDtServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\PuTTY\pageant.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
F:\ProgInstall\LeapFTP\LeapFTP.exe
C:\Programme\Winamp\winamp.exe
C:\DOKUME~1\d\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\d\LOKALE~1\Temp\~e5d141.tmp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.netcologne.de:8080
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\INSTALLPROGZ\865i\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\INSTALLPROGZ\SnagIt7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OmniPage] e:\installprogz\OmniPage\opware32.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [eTrustPPAP] "E:\INSTALLPROGZ\PestPatrol\PPActiveDetection.exe"
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [Steam] "e:\instal~3\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [XSC SIP Client] "E:\INSTALLPROGZ\sipgate X-Lite\sipgateXLite.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "E:\INSTALLPROGZ\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: PowerISDNMonitor 4.1.3.lnk = E:\INSTALLPROGZ\PowerISNDMonitor\pimjava.exe
O4 - Global Startup: Run VNC Server.lnk = C:\Programme\RealVNC\VNC4\winvnc4.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: AutoStart IR.lnk = E:\INSTALLPROGZ\WinTVMPEG\Ir.exe
O4 - Global Startup: TYPSoft FTP Server.lnk = E:\INSTALLPROGZ\TYPSoft FTP Server\ftpserv.exe
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Netlimiter.lnk = C:\Programme\NetLimiter\NetLimiter.exe
O4 - Global Startup: Spybot - Search & Destroy.lnk = C:\Programme\Spybot\SpybotSD.exe
O4 - Global Startup: Microsoft AntiSpyware.lnk = E:\INSTALLPROGZ\MS AntiSpyware Beta\GIANTAntiSpywareMain.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://E:\INSTALLPROGZ\865i\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://E:\INSTALLPROGZ\865i\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://E:\INSTALLPROGZ\865i\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://E:\INSTALLPROGZ\865i\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\INSTAL~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\INSTAL~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin7.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/Pes...r/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122133971234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1125397952859
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\fpjo0313e.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - C:\Programme\FreeProxy\FreeProxy.exe (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Leider Gottes kann ich nichts Verdächtiges im Log finden. Ist jemand von Euch in der Lage mir aus dieser misslichen Lage zu helfen? Ich möchte endlich wieder ohne Pop-Ups surfen und arbeiten können. Während dem Verfassen dieser Nachricht sind wieder 3 so Fenster aufgepoppt

Beste Grüße,
Armin

Wildone

22.09.2005 15:16

Hallo,
das scheint mir ja eine härtere Nuss zu sein, am besten du läßt gleich noch mal Escan (Anleitung genau beachten!) drüberlaufen und postest dann den Inhalt der eScan_neu.txt.
bei HijackThis ist mir eigentlich nur der O20 Eintrag aufgefallen, lade mal LSPfix runter und führe es aus, und schau mal ob da eine fpjo0313e.dll auftaucht, wenn ja auf "i know what i am doing" ankreuzen und die Datei auf die Linke Seite (falls nicht schon dort) schieben und auf finish klicken.

Grüße Wildone

aknox

22.09.2005 15:24

Danke Jasager,

ich mache jetzt erstmal ein Ghost-Backup meines Systems. Anschließend werde ich nach der Anleitung eScan durchführen und das Ergebnis hier reinposten.

Gruß,
Armin

!alpay!

22.09.2005 15:26

Hi ,

fpjo0313e.dll hab ich gegoogelt und nichts dazu gefunden.
Eventuell ist diese .dll infiziert oder für die Popups verantwortlich.

Kann aber auch sein dass es ein wichtiger Treiber ist.
Ich würd die fpjo0313e.dll noch belassen und die Meinung von Admins,Moderatoren und anderen HijackThis Experten abwarten.

Uups, da hat sich mein Post zeitlich mit anderen Antworten überschnitten

Wildone

22.09.2005 15:35

Hallo,
bin mir eigentlich recht sicher, da einer der google hits (der zweite hier im Board)
hat folgenden Eintrag in der Escan Auswertung:
File C:\WINNT\system32\fpjo0313e.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
das passt ja schon sehr gut zu der Beschreibung des TE, aber wir können auch das Escan Ergebnis abwarten.

Grüße Wildone

aknox

22.09.2005 18:34

Folgendes Ergebnis spuckte eScan aus - was muss ich nun machen bzw. was kann ich (wie) löschen?

Danke für Eure Hilfe!!!

aknox

22.09.2005 18:45

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bonzibuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eUniverse/Keenvalue variant Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ImageUploader3.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\RdxIE.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxwma.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\Fonts\Reqrd\Base\AdobeFnt.lst". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\RdxIE.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\Default.rul". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Preispiraten\Uninstall.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\TypeSpt\MojiKumi\Photoshop6MojiKumi". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\Hyphenation\usa37.hyp". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\CIERGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\NTSC1953.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\PAL_SECAM.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\pcd4050e.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\pcd4050k.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\pcdcnycc.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\pcdekycc.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\pcdkoycc.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\SMPTE-C.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\stdpyccl.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\WideGamutRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\AdobeRGB1998.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\AppleRGB.icc". Action Taken: No Action Taken.

aknox

22.09.2005 18:48

Teil 2:
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\ColorMatchRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\EuroscaleCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\EuroscaleUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\USSheetfedCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\USSheetfedUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\USWebCoatedSWOP.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\spool\DRIVERS\COLOR\USWebUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\drivers\Cdr4_2K.sys". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\INSTALLPROGZ\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Common Files\Borland Shared\BDE\IDAPINST.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ImageUploader3.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\INSTALLEDGAMEZ\RaymanM\binkw32.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\INSTALLEDGAMEZ\RaymanM\stlport_vc6.4.1.b6.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "%JavaDir%\QTJava.zip". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ASAPI" refers to invalid object "C:\Programme\VOB\ASAPI Update\ASAPI". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\system32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\easy-bib.exe" refers to invalid object "e:\installprogz\easybib\PROGRAM\myapp.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Easy-WebPrint" refers to invalid object "E:\INSTALLPROGZ\865i\Easy-WebPrint\Easy-WebPrint". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ecs_setup.exe" refers to invalid object "C:\Programme\Sony Ericsson\Communications Suite\ecs_setup.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\fricom32.exe" refers to invalid object "C:\Programme\FRITZ!\fricom32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\frijrn32.exe" refers to invalid object "C:\Programme\FRITZ!\frijrn32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\frivox32.exe" refers to invalid object "C:\Programme\FRITZ!\frivox32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\mppinst.exe" refers to invalid object "E:\INSTALLPROGZ\RealPlayer\mppinst.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Pamela.exe" refers to invalid object "C:\Programme\Pamela\pamela.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PhotoStitch.Exe" refers to invalid object "C:\Programme\Canon\PhotoStitch\PhotoStitch.Exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\RegCloneDVD2.exe" refers to invalid object "E:\INSTALLPROGZ\CloneDVD\CloneDVD2\RegCloneDVD2.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\AntiVirenKit 2005\yourapp.Exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton AntiVirus\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton Internet Security\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton Internet Security\Norton AntiVirus\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".36". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-Aware SE Professional". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Anti-Leech ALIE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "DivX Codec". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "DivX Player". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Language pack for Ad-Aware SE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0.4)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0PR)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SBSoft". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Steinberg WaveLab v4.00c". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SymSetup.{C6B28661-7910-442E-ADDD-72EAA8395380}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "WinBar XP_is1". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "XviD". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{E8D25E54-D172-4FB0-929B-48D51E2E9C6D}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{FB015BB0-5518-4767-9DE4-F9A5C7C62E46}". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0029EA03-63CA-442D-8EDC-3E624F0F7738}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISLuCbk.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0180E49C-13BF-46DB-9AFD-9F52292E1C22}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{039C58B0-3B22-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{03D29100-205D-11d3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{096F54CF-6ED7-4725-AFBF-29C5AFF8BFAC}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0C5B0CED-206B-4c39-B615-0EB23C824612}" refers to invalid object "C:\Program Files\Common Files\Adobe\Shell\AIIcon.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0F754BB5-4299-474F-879E-3AACF49E48E0}" refers to invalid object "E:\INSTALLPROGZ\OfficeXP01\Office10\WINWORD.EXE /IMG_WIA". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{295C4C53-1D29-11D3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{31B342A0-E26C-11CE-B639-00C0D10801C4}" refers to invalid object "C:\Programme\FRITZ!\frijrn32.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{387A3FA2-53F4-445F-99A8-18039DF74E39}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{38D30597-1F3A-431F-8679-846677A8B392}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3A1FBE09-D1E1-4421-9A8F-8AB9DC73B325}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\SLTCHK01.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3C7A5400-3B22-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{41C4D969-6F04-405d-A186-7B8ACBAA1C1B}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{45AD9C63-B8EE-4487-970B-F7FA2F6EE9CD}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{46066160-3B04-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4689DE00-371E-437a-A293-EBE4463AF796}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\fwUI.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4A263C1C-EBCA-4774-BD1B-AFFD07DBFCD2}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4B12A8B7-32CD-4D00-988D-A62AEF70F145}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4F6EAB4C-A792-4F73-A0EA-4FAFB3643628}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\fwUI.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{51F26AB6-546F-45E9-9C2A-A7BE75393E09}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\fwUI.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{525F116F-04AD-40A2-AE2F-A0C4E1AFEF98}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{56336BCA-3D8A-11d6-A00B-0050DA18DE71}" refers to invalid object "C:\DOKUME~1\d\LOKALE~1\Temp\InfoWindow.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{597CAA70-72AA-11CF-831E-524153480000}" refers to invalid object "E:\INSTAL~1\MACROM~1\FLASHM~1\Flash.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5B0BBAF0-3E3D-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5FAB35FB-855A-489d-AC41-FBF8004C0330}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{60765CF5-01C2-4EE7-A44B-C791CF25FEA0}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{64695B9D-EBFB-40c7-A869-989975A91BB1}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{65F9FD81-C49B-4C2A-8994-7DA2312ADDDC}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6802E635-CB18-F544-790D-700BAC51E508}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6DE3F233-DBE6-11d2-AE81-00C04F7FE3EF}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{72E492DD-B841-4D9C-8EBC-3BAC9711F6E5}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\FREInteg.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{74E97E78-4948-41AB-9FF4-D21FC69014DD}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{76334026-36FF-406E-B717-87512BE44A44}" refers to invalid object "start ACDSee7.exe /StiDevice:%1 /StiEvent:%2". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{78395490-62BE-47B9-A607-FAC8F1E923D3}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{79A00187-F159-4B89-981B-F81D51504201}" refers to invalid object "C:\WINDOWS\system32\DivXAF.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7CA87530-E5EB-4B82-92DB-6299B2116A0A}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\FREInteg.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7D109FA1-238D-11D5-B482-00508BC03E93}" refers to invalid object "G:\__SOFTWARE__\__Desktop__\_Notizzettel_\AnIcon32.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{87F14216-6B5B-41c0-8305-9B1F759A5118}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8891647B-00F9-4C0D-B25F-085667A8A2AC}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8989DE17-223F-4186-9077-BA154530EAD0}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8CA18050-3E49-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{91092BB2-D736-4c18-8BF5-81A1860FB556}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9385DDC3-90B6-40CD-8367-EFA685B74769}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{93A22E7A-5091-45EF-BA61-6DA26156A5D0}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9852A670-F845-491B-9BE6-EBD841B8A613}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A144E330-841A-4FE1-BBAF-57F1CB465C19}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A2F81DF6-3260-4BCE-8734-555A19DED3F1}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A33737D0-3E45-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A8B25C0E-0894-4531-B668-AB1599FAF7F6}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{ACE4747B-35BD-4E97-9DD7-1D4245B0695C}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B04BC1A0-3E49-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B8A6FF88-9534-4384-893C-2D13EA19F5C5}" refers to invalid object "E:\INSTALLPROGZ\Adobe\Photoshop6\Photoshp.exe /StiDevice:%1 /StiEvent:%2". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B92AD9B0-45F2-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.

aknox

22.09.2005 18:49

Teil 3:
Entry "HKCR\CLSID\{C2D6D98F-09CA-4524-AF64-1049B5665C9C}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C8B82070-F7BA-495E-8C3E-789ACBB21236}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{CE77C59C-CFD2-429F-868C-8B04D23F94CA}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D5E1EBD0-3E48-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{DC75FDF0-3E49-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{DF144FBA-E7AF-4EB0-82D4-93B585BEC90F}" refers to invalid object "E:\INSTALLPROGZ\Videotimer\WakeUpTimer.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E508B020-293B-11d4-9055-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E89602DD-B2F4-45af-A083-836ED84B01EE}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{EE6CCD65-194D-11D3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{EE6CCD76-194D-11D3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{EE6CCD78-194D-11D3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{EE6CCD7B-194D-11D3-9024-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F2A70758-DA39-11D3-B964-00500493A421}" refers to invalid object "C:\WINDOWS\system32\GMAGLUE.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F2A7075F-DA39-11D3-B964-00500493A421}" refers to invalid object "C:\WINDOWS\system32\GMAGLUE.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F544E0F5-CA3C-47EA-A64D-35FCF1602396}" refers to invalid object "C:\WINDOWS\system32\DVobSub.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F768BE08-81D7-400D-8BD9-8B8F8BB0E96D}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\SLTCHK01.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F9075D50-3E49-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FAF3B850-3B1A-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FCA97E20-3B14-11d3-902C-00C04F78ACF9}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVGVIE~1\SVGCON~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{056738E1-E15C-11D6-B876-0050BF5D85C7}" refers to invalid object "C:\Programme\Anti-Leech\ALIE_1.0.1.8\alie.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{20F6AEAC-284A-4022-A0A8-718AB2087D37}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\SLTCHK01.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{3CF85874-1F2A-4C0D-82B9-42213CFB48B0}" refers to invalid object "C:\Programme\SchnapperPro\CommClient.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{472A5A47-F2C6-4DE9-89B4-5ADF1CF57F3C}" refers to invalid object "E:\INSTALLPROGZ\Videotimer\WakeUpTimer.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{4E5A5CBD-2CE8-4085-B515-A20137D70D3D}" refers to invalid object "C:\Programme\Norton Personal Firewall\ACDisp.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{54B0DF71-97D6-493C-834D-99FC9E19D612}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISWrap.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{56EBB89D-BB5A-4408-BA3F-04F68EB28690}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\ISLuCbk.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{5CD04EBA-9DAB-11D3-B964-00500493A421}" refers to invalid object "C:\WINDOWS\system32\GMAGLUE.EXE". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{6DE3F231-DBE6-11D2-AE81-00C04F7FE3EF}" refers to invalid object "C:\WINDOWS\System32\Adobe\SVG Viewer\SVGControl.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{6E2295DE-2B0E-4ED8-91A8-D9E9A514A027}" refers to invalid object "C:\Programme\Norton AntiVirus\IWP\niscmnht.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{7AF322C5-AB43-11D4-A00B-0050DA18DE71}" refers to invalid object "C:\DOKUME~1\d\LOKALE~1\Temp\InfoWindow.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{8C445A83-9D0A-11D3-A8FB-444553540000}" refers to invalid object "C:\WINDOWS\system32\ImagXpr5.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{C0DAEDCE-D6C6-4CDB-B9D6-020FC64A660D}" refers to invalid object "C:\Programme\SchnapperPro\SchnapperMain.exe". Action Taken: No Action Taken.
Entry "HKCR\AcroExch.0.3" refers to invalid object "{D7F392D9-5462-391A-14C1-C2496640C624}". Action Taken: No Action Taken.
Entry "HKCR\Adobe.workflow.files\shell\open\command" refers to invalid object ""C:\Programme\Gemeinsame Dateien\Adobe\WorkFlow\AdobeWorkGroupHelper.exe "%1""". Action Taken: No Action Taken.
Entry "HKCR\AheadAutoPlayHandlers.VwList.3" refers to invalid object "{B939AF6C-9E2B-4071-24E9-E732888C46D4}". Action Taken: No Action Taken.
Entry "HKCR\Backstage.Dokument\shell\open\command" refers to invalid object "E:\INSTAL~1\MACROM~1\DREAMW~1\DREAMW~1\DREAMW~1.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\CHROME\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DynSite\shell\open\command" refers to invalid object ""C:\Programme\DynSite\DynSite.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\FwUI.FWRuleEditor" refers to invalid object "{A8526C0D-7EBA-41C4-9906-153C23CBF5DB}". Action Taken: No Action Taken.
Entry "HKCR\FwUI.FWRuleEditor.1" refers to invalid object "{A8526C0D-7EBA-41C4-9906-153C23CBF5DB}". Action Taken: No Action Taken.
Entry "HKCR\gopher\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
Entry "HKCR\HTTP\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
Entry "HKCR\https\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
Entry "HKCR\IAS.CddbURLManager" refers to invalid object "{1BF7D410-8D3B-D876-9F63-5F1568BA6161}". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\notfile\shell\open\command" refers to invalid object ""G:\__SOFTWARE__\__Desktop__\_Notizzettel_\anote.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\PhotoBase.Document" refers to invalid object "{F90E7260-9545-11D0-87A0-444553540000}". Action Taken: No Action Taken.
Entry "HKCR\PhotoBase.Document\shell\open\command" refers to invalid object "e:\installprogz\PhotoBase\PhotoBase\PHBASE.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\Photoshop.SpinButton.2" refers to invalid object "{CB31AF35-0168-6E2B-47FF-8C1E8D07972B}". Action Taken: No Action Taken.
Entry "HKCR\ROXIO.CD.Project" refers to invalid object "{AC62F6B2-9EB0-4A3C-BFC2-75946685FCFB}". Action Taken: No Action Taken.
Entry "HKCR\tixFile\shell\open\command" refers to invalid object ""C:\Programme\DivX\DivX Player\DivX Player.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\tvpifile\shell\open\command" refers to invalid object "E:\INSTALLPROGZ\DaVideoVideorec\TVR 2.0\iEpg.exe "/file%l"". Action Taken: No Action Taken.
Entry "HKCR\ZAMailSafe\shell\open\command" refers to invalid object ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" -warning "%1"". Action Taken: No Action Taken.
Entry "HKCR\Zb.ZbCmdProcessRawImages" refers to invalid object "{4DCADFA0-556A-4288-AB68-833C51A2CF6B}". Action Taken: No Action Taken.
Entry "HKCR\Zb.ZbCmdProcessRawImages.1" refers to invalid object "{4DCADFA0-556A-4288-AB68-833C51A2CF6B}". Action Taken: No Action Taken.
Entry "HKCR\Zb.ZbCmdRemoteCapture" refers to invalid object "{7D5BAFEE-5A7D-4BB0-B709-A17422EEB658}". Action Taken: No Action Taken.
Entry "HKCR\Zb.ZbCmdRemoteCapture.1" refers to invalid object "{7D5BAFEE-5A7D-4BB0-B709-A17422EEB658}". Action Taken: No Action Taken.
File C:\WINDOWS\system32\wcnetmgr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tdaffic.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ddspex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnrawex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\shrstr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kduser.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fpn8035ue.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en4ml1h11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gpnml3511.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\j6l40g3qe6.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fp8u03l9e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktl4l73q1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gp02l3do1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv0ml9d11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tJpiui.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\p48qlel51hq.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktlul7391.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i842liho184c.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\d60m0gd1e60.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\hr6q05j5e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\3OViewer.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\r4r6le9s1h.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\o048lahu1d48.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktn6l75s1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\enlql1351.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en24l1fq1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\m828lifu1828.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\oytext32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv06l9ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnjo0113e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\wbsdmoe.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kwdne.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\u8ru0i99e8.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i0240afqed2e0.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mkastmib.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mcc42u.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kt06l7ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i6nmlg5116.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\l68m0gl1e6q.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\jtjs0717e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\srcpack.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\d\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3cc46f89-48c24613.zip infected by "Trojan-Downloader.Java.OpenStream.u" Virus! Action Taken: No Action Taken.
File C:\Programme\RealVNC\VNC4\winvnc4.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\vncconfig.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\wm_hooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\vncviewer.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File D:\WINNT\system32\omnithread_rt.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.g. No Action Taken.
File D:\WINNT\wt\wtbgm\wtbgmtt.exe tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.

aknox

22.09.2005 18:50

Dickes Sorry für den langen Log ... echt traurig ... zur Erklärung der Reihenfolge. Teil 1 kommt zuerst, dann Teil 2, dann Teil 3 ... alle von oben nach unten ...

Hoffentlich verliert ihr nicht die Lust bei dem langen Log :confused:

Wildone

22.09.2005 19:33

Hallo,
doch tue ich, öffne die MWAV.LOG, gebe über bearbeiten>>suchen die beiden Stichwörter "tagged" und "infected" ein, und poste die jeweiligen Einträge.

Grüße Wildone

aknox

22.09.2005 20:00

So, die gekürzte Version ... nochmals vielen Dank!

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bonzibuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eUniverse/Keenvalue variant Spyware/Adware" found in File System! Action Taken: No Action Taken.
try "HKCR\Zb.ZbCmdRemoteCapture.1" refers to invalid object "{7D5BAFEE-5A7D-4BB0-B709-A17422EEB658}". Action Taken: No Action Taken.
File C:\WINDOWS\system32\wcnetmgr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tdaffic.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ddspex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnrawex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\shrstr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kduser.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fpn8035ue.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en4ml1h11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gpnml3511.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\j6l40g3qe6.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fp8u03l9e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktl4l73q1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gp02l3do1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv0ml9d11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tJpiui.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\p48qlel51hq.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktlul7391.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i842liho184c.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\d60m0gd1e60.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\hr6q05j5e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\3OViewer.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\r4r6le9s1h.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\o048lahu1d48.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktn6l75s1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\enlql1351.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en24l1fq1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\m828lifu1828.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\oytext32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv06l9ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnjo0113e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\wbsdmoe.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kwdne.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\u8ru0i99e8.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i0240afqed2e0.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mkastmib.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mcc42u.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kt06l7ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i6nmlg5116.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\l68m0gl1e6q.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\jtjs0717e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\srcpack.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\d\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3cc46f89-48c24613.zip infected by "Trojan-Downloader.Java.OpenStream.u" Virus! Action Taken: No Action Taken.
File C:\Programme\RealVNC\VNC4\winvnc4.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\vncconfig.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\wm_hooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File C:\Programme\RealVNC\VNC4\vncviewer.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File D:\WINNT\system32\omnithread_rt.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.g. No Action Taken.
File D:\WINNT\wt\wtbgm\wtbgmtt.exe tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.
File D:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File G:\__SOFTWARE__\-= Web-Tools =-\vnc-3.3.6-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File G:\__SOFTWARE__\__Communication__\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File G:\__SOFTWARE__\__Communication__\netpumper-1.10.3-setup.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
File G:\__SOFTWARE__\__Communication__\VNC\vnc-4.0-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
File G:\__SOFTWARE__\__System__\__Desktop__\Bildschirmschoner - Websites - Freeware\gPhotoShow.exe infected by "Trojan-Dropper.Win32.Small.ff" Virus! Action Taken: No Action Taken.

Wildone

22.09.2005 20:28

Hallo,
das ist ja in der Tat eine schöne Sauerei. Also, schalte erst mal die Systemwiederherstellung ab (Rechtsklick auf Arbeitsplatz>>Eigenschaften in der Karteikarte Systemwiederherstellung). Dann gehst du in den abgesicherten Modus und löschst folgende Dateien:

File C:\WINDOWS\system32\wcnetmgr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tdaffic.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ddspex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnrawex.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\shrstr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kduser.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fpn8035ue.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en4ml1h11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gpnml3511.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\j6l40g3qe6.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fp8u03l9e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktl4l73q1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gp02l3do1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv0ml9d11.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\tJpiui.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\p48qlel51hq.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktlul7391.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i842liho184c.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\d60m0gd1e60.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\hr6q05j5e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\3OViewer.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\r4r6le9s1h.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\o048lahu1d48.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktn6l75s1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\enlql1351.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\en24l1fq1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\m828lifu1828.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\oytext32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv06l9ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnjo0113e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\wbsdmoe.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kwdne.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\u8ru0i99e8.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i0240afqed2e0.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mkastmib.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mcc42u.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kt06l7ds1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\i6nmlg5116.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\l68m0gl1e6q.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\jtjs0717e.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\srcpack.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
File D:\WINNT\wt\wtbgm\wtbgmtt.exe tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
File D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as "not-a-virus:AdWare.Gator.5115". Action Taken: No Action Taken.
File G:\__SOFTWARE__\__Communication__\netpumper-1.10.3-setup.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken
File G:\__SOFTWARE__\__System__\__Desktop__\Bildschirms choner - Websites - Freeware\gPhotoShow.exe infected by "Trojan-Dropper.Win32.Small.ff"

Hast du die Aktion mit LSPfix eigentlich schon durchgeführt, weil nach dem löschen, der fpjo0313e.dll wäre es möglich das dein Internet nicht mehr funktioniert, also versuche diese Datei erstmal mit LSPfix zu entfernen bevor du sie manuell löschst.
Dann löschst du die MWAV.log, wieder Escan laufen lassen, wieder die infected und tagged Einträge posten.

Grüße Wildone

aknox

22.09.2005 20:37

OK, vielen Dank, werde es morgen Vormittag erneut angehen. Wenn mein Internet nicht gesehen sollte, habe ich da wenigstens vorher geschlafen ;) Habe da echt etwas "Respekt" vor, aber ich werd´s genau so machen wie du sagst! Dann wird´s schon irgendwie klappen :)

Ganz vielen Dank nochmal! Habe da wohl wirklich einen Fachmann gefunden!!! :)

Wildone

22.09.2005 20:41

Hallo,

Zitat:

OK, vielen Dank, werde es morgen Vormittag erneut angehen. Wenn mein Internet nicht gesehen sollte, habe ich da wenigstens vorher geschlafen

lol, mach das das hat noch nie geschadet.

Zitat:

Ganz vielen Dank nochmal! Habe da wohl wirklich einen Fachmann gefunden!!!

Schon mal ein gern geschehen, aber es gibt bei weitem noch hellere Sterne am Firmament.

Grüße Wildone

aknox

23.09.2005 07:47

Guten Morgen,

LSP-Fix zeigt mir nur folgende Sachen an:

mswsock.dll
winrnr.dll
nwprovau.dll
wshbth.dll
nl_lsp.dll
rsvpsp.dll

Werde jetzt mal von Hand die ausgesuchten Files aus dem eScan-Ergebnis von Hand löschen. Ich melde mich! Danke!

Wildone

23.09.2005 08:26

Hallo,
die mit LSPfix gefundenen dlls sollten alle in Ordnung sein, also dort nichts verändern.

Grüße Wildone

aknox

23.09.2005 08:44

Auch schon wieder da :) ... Klasse ...

Also ich habe alle genannten Dateien gelöscht. Heute morgen kam noch eine weitere dll mit look2me hinzu - habe die auch gelöscht. Jetzt zeigt eScan "nurnoch" folgendes an:

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bonzibuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eUniverse/Keenvalue variant Spyware/Adware" found in File System! Action Taken: No Action Taken.

Leider werden nachwievor Popups geladen ... scheinbar nicht mehr gaaanz so wild wie vorher, aber immernoch die gleichen ... es scheint ja auch noch irgendwas drauf zu sein. Hoffe auf weitere hilfreiche Instruktionen :)

Gruß,
Armin

aknox

23.09.2005 08:54

Keines der 4 "Programme" habe ich bei mir installiert ... über Bearshare habe ich bei Google rausgefunden, dass das von emule kommen kann. ansonsten habe ich aber keine p2p-software installiert.

Ich bin aber echt ratlos, woher die Popups kommen. Sobald ich das 1. mal irgendwie die www-leitung benutze, geht´s los ... egal ob der browser an ist oder nicht.

Wildone

23.09.2005 09:04

Hallo,
schau mal unter Systemsteuerung>>Software ob da eines der genannten Programme auftaucht, wenn ja deinstallieren.
Sind das wirklich alle Einträge in Escan, da müssten doch eigentlich noch welche in der Art kommen:
File D:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
die solltest du ja nicht löschen.
Erstelle vielleicht auch noch mal ein neues HijackThis log.
Ansonsten bin ich relativ ratlos und werde mich mal noch nach weiteren Informationen über Look2me.ab mal umschauen.

Grüße Wildone

Wildone

23.09.2005 09:43

Hallo,
das ganze scheint doch etwas zu kompliziert für mich zu werden, da ich mit diesem Tool quasi keine Erfahrung habe. Führe mal das Programm aus, und lass es unter Option 1 laufen und poste dann das erstellte Log, ich schaue mal ob ich jemanden per PN erreichen kann, der es lesen kann.

Grüße Wildone

aknox

23.09.2005 10:09

Danke! Habe das Tool gerade nach einer Anleitung von nikita benutzt. Nikita riet mir ewida zu benutzen.

Ewida findet folgende 2 Dateien, die ich zwar mit ewida löschen kann, die aber direkt beim nächsten scan wieder da sind:

guard.tmp und osjsel.dll (bei Look2Me verseucht) ... wie bekomme ich die weg? L2MFix hat soweit nicht wirklich geholfen ... zumindest gehen noch browser-fenster auf ... Pop-Ups kamen bisher noch nicht.

Vielleicht hast Du ja nach der Info wieder einen guten Rat. Danke nochmals für die konsequente Hilfe!!

Sabina

23.09.2005 10:26

aknox

Nikita bin ich ;)
da ich hier mehr Daten als im anderen Thread habe:

speicher diese reg-Datei lok.reg auf dem Desktop (oben im Browser-->Datei-->Seite speichern unter...--> waehle Desktop)
und boote in den abgesicherten Modus, dort klicke die lok.reg doppelt und fuege sie der Registry bei
http://virus-protect.net/virusprotect/reg/lok.reg

Zitat:

Verzeichnis von C:\WINDOWS\System32
23.09.2005 10:40 237.008 mvcmcde.dll
23.09.2005 10:39 237.008 guard.tmp

CCleaner (loesche alle temp-Dateien)
http://www.ccleaner.com/ccdownload.asp

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

G:\__SOFTWARE__\__Communication__\netpumper-1.10.3-setup.exe
D:\WINNT\wt\wtbgm\wtbgmtt.exe
D:\Programme\Gemeinsame Dateien\CMEII\GController.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\WINDOWS\system32\guard.tmp

PC neustarten

D:\Programme\Gemeinsame Dateien\CMEII <--loeschen

G:\__SOFTWARE__\__System__\__Desktop__\Bildschirmschoner - Websites - Freeware\gPhotoShow.exe<--loeschen

D:\WINNT\wt\wtbgm<--loeschen

noch einmal scannen mit:

L2mfix.
http://virus-protect.net/virusprotect/L2mfix.html
fuehre bitte alles nach Anleitung aus und poste die zwei Logs in den Thread.

Wildone

23.09.2005 10:32

Hallo,
nur als Frage gemeint, was die nl_lsp.dll angeht, gehört die nicht zum Programm Netlimiter und ist soweit unbedenklich?

Grüße Wildone

aknox

23.09.2005 10:53

Habe gerade mit PE-Buider ein WinXP-ISO gezogen, das mal gestartet und dort die guard.tmp gelöscht ... die guard.tmp ist auch nach dem start nicht mehr aufgetaucht ... wäre ja schonmal ein erfolg ... ich glaube ich habe keine Google-Hijacks mehr ... mal sehen ob´s gleich aufpoppt ... ich hoffe nicht!

Danke schonmal ... ich melde mich in jedem Fall ob´s geholfen hat oder nicht!

Sabina

23.09.2005 10:56

speicher diese reg-Datei lok.reg auf dem Desktop (oben im Browser-->Datei-->Seite speichern unter...--> waehle Desktop)
und boote in den abgesicherten Modus, dort klicke die lok.reg doppelt und fuege sie der Registry bei
http://virus-protect.net/virusprotect/reg/lok.reg

noch einmal scannen mit:

L2mfix.
http://virus-protect.net/virusprotect/L2mfix.html
fuehre bitte alles nach Anleitung aus und poste die zwei Logs in den Thread.

XP/2000 (laden scannen und berichten) ;)
http://www.downloads.subratam.org/VX2Finder.exe

aknox

23.09.2005 10:59

CWS-Shredder und auch ewida finden endlich keinen Look2Me mehr . Mensch ... danke!!! Ohne Euch hätte ich das natürlich nie geschafft!! Hat sich die Arbeit ja doch gelohnt.

Jetzt nochmal eine Frage an die Profis: Welche Software empfehlt ihr, im hintergrund laufen zu lassen. habe bisher den Spyware Doctor, Microsoft AntiSpyware und seit 2 Tagen PestPatrol-Guards aktiviert. Was empfehlt ihr mir, dass ich mich gegen genau solche Infizierungen möglichst gut verteidigen kann?

Danke nochmal! Bin echt sowas von happy! Habe eben schon nicht mehr damit gerechnet, dass System ohne Neustart sauber zu bekommen. Danke, Danke, Danke!

Wildone

23.09.2005 11:05

Hallo,
bevor du feierst wäre es vielleicht ganz sinnvoll wenn du mal die Anweisungen von Sabina ausführst, und nach den l2mfix Logs bist du jetzt drei mal gefragt worden.

Grüße Wildone

aknox

23.09.2005 11:06

ups, sofort ... sorry

aknox

23.09.2005 11:09

aknox

23.09.2005 11:09

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell extensions for Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{F802F260-519B-11D1-BB5D-0060974C6013}"="ICQ Shell Extension"
"{2F25CF20-C569-11D1-B94C-00608CB45480}"="TextPad"
"{57C51AF9-DEF7-11D3-A801-00C04F163490}"="Ghost Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}"="CloneCD"
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"="SnagIt"
"{9A0FCE34-C7CA-4F8F-A2BD-2265244B280B}"="X1 Icon Overlay Handler"
"{4469E55B-EF37-4E08-A39B-5774F91DB50B}"="X1 Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"="Adobe.Acrobat.ContextMenu"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}"="TrojanHunter Menu Shell Extension"
"{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
cdfview.dll Sun 3 Jul 2005 4:15:24 A.... 152.064 148,50 K
mshtml.dll Wed 20 Jul 2005 4:04:36 A.... 3.012.096 2,87 M
mshtmled.dll Sun 3 Jul 2005 4:15:28 A.... 448.512 438,00 K
msrating.dll Sun 3 Jul 2005 4:15:28 A.... 146.432 143,00 K
wininet.dll Sun 3 Jul 2005 4:15:28 A.... 664.064 648,50 K
hashlib.dll Tue 12 Jul 2005 15:35:14 A.... 117.976 115,21 K
iepeers.dll Sun 3 Jul 2005 4:15:24 A.... 251.392 245,50 K
browseui.dll Sun 3 Jul 2005 4:15:24 A.... 1.019.904 996,00 K
gcunco~1.dll Tue 12 Jul 2005 15:35:10 A.... 95.448 93,21 K
gccoll~1.dll Tue 12 Jul 2005 15:35:14 A.... 126.680 123,71 K
umpnpmgr.dll Thu 30 Jun 2005 4:05:34 A.... 119.296 116,50 K
mscms.dll Wed 29 Jun 2005 3:49:40 A.... 74.240 72,50 K
icm32.dll Wed 29 Jun 2005 3:49:40 A.... 254.976 249,00 K
urlmon.dll Sun 3 Jul 2005 4:15:28 A.... 605.696 591,50 K
shlwapi.dll Sun 3 Jul 2005 4:15:28 A.... 474.112 463,00 K
shdocvw.dll Sun 3 Jul 2005 4:15:28 A.... 1.484.288 1,41 M
pngfilt.dll Sun 3 Jul 2005 4:15:28 A.... 39.424 38,50 K
inseng.dll Sun 3 Jul 2005 4:15:24 A.... 96.768 94,50 K
tapisrv.dll Fri 8 Jul 2005 18:28:24 A.... 249.344 243,50 K

19 items found: 19 files, 0 directories.
Total of file sizes: 9.432.712 bytes 8,99 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC96-86D2

Verzeichnis von C:\WINDOWS\System32

13.06.2005 18:57 1.056 KGyGaAvL.sys
13.06.2005 18:56 8 DF13640DBE.sys
16.10.2004 23:30 <DIR> Microsoft
16.10.2004 22:51 <DIR> dllcache
2 Datei(en) 1.064 Bytes
2 Verzeichnis(se), 1.158.860.800 Bytes frei

aknox

23.09.2005 11:10

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
cdfview.dll Sun 3 Jul 2005 4:15:24 A.... 152.064 148,50 K
mshtml.dll Wed 20 Jul 2005 4:04:36 A.... 3.012.096 2,87 M
mshtmled.dll Sun 3 Jul 2005 4:15:28 A.... 448.512 438,00 K
msrating.dll Sun 3 Jul 2005 4:15:28 A.... 146.432 143,00 K
wininet.dll Sun 3 Jul 2005 4:15:28 A.... 664.064 648,50 K
hashlib.dll Tue 12 Jul 2005 15:35:14 A.... 117.976 115,21 K
iepeers.dll Sun 3 Jul 2005 4:15:24 A.... 251.392 245,50 K
browseui.dll Sun 3 Jul 2005 4:15:24 A.... 1.019.904 996,00 K
gcunco~1.dll Tue 12 Jul 2005 15:35:10 A.... 95.448 93,21 K
gccoll~1.dll Tue 12 Jul 2005 15:35:14 A.... 126.680 123,71 K
umpnpmgr.dll Thu 30 Jun 2005 4:05:34 A.... 119.296 116,50 K
mscms.dll Wed 29 Jun 2005 3:49:40 A.... 74.240 72,50 K
icm32.dll Wed 29 Jun 2005 3:49:40 A.... 254.976 249,00 K
urlmon.dll Sun 3 Jul 2005 4:15:28 A.... 605.696 591,50 K
shlwapi.dll Sun 3 Jul 2005 4:15:28 A.... 474.112 463,00 K
shdocvw.dll Sun 3 Jul 2005 4:15:28 A.... 1.484.288 1,41 M
pngfilt.dll Sun 3 Jul 2005 4:15:28 A.... 39.424 38,50 K
inseng.dll Sun 3 Jul 2005 4:15:24 A.... 96.768 94,50 K
tapisrv.dll Fri 8 Jul 2005 18:28:24 A.... 249.344 243,50 K

19 items found: 19 files, 0 directories.
Total of file sizes: 9.432.712 bytes 8,99 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC96-86D2

Verzeichnis von C:\WINDOWS\System32

13.06.2005 18:57 1.056 KGyGaAvL.sys
13.06.2005 18:56 8 DF13640DBE.sys
16.10.2004 23:30 <DIR> Microsoft
16.10.2004 22:51 <DIR> dllcache
2 Datei(en) 1.064 Bytes
2 Verzeichnis(se), 1.158.860.800 Bytes frei

Sabina

23.09.2005 11:17

speicher diese reg-Datei lok.reg auf dem Desktop (oben im Browser-->Datei-->Seite speichern unter...--> waehle Desktop)
und boote in den abgesicherten Modus, dort klicke die lok.reg doppelt und fuege sie der Registry bei
http://virus-protect.net/virusprotect/reg/lok.reg

XP/2000 (laden scannen und berichten)
http://www.downloads.subratam.org/VX2Finder.exe

•Hoster-Tool : hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

um zu sehen, ob die Registry sauber ist, brauche ich dann noch mal das L2mfix ;)

Zitat:

[HKEY_CLASSES_ROOT\CLSID\{4C48BDAF-A1BE-41F5-96DC-C1B8CB6DCCAC}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Zitat:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform]
"{943D8FC1-CFE4-232F-0D59-354C9C384D4E}"=""

aknox

23.09.2005 11:27

VX2Finder zeigt an:

Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon
wzcnotif

Habe dem lm2fix inkl. reg und so durchgeführt. Log folgt sofort ...

aknox

23.09.2005 11:30

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell extensions for Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{F802F260-519B-11D1-BB5D-0060974C6013}"="ICQ Shell Extension"
"{2F25CF20-C569-11D1-B94C-00608CB45480}"="TextPad"
"{57C51AF9-DEF7-11D3-A801-00C04F163490}"="Ghost Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}"="CloneCD"
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"="SnagIt"
"{9A0FCE34-C7CA-4F8F-A2BD-2265244B280B}"="X1 Icon Overlay Handler"
"{4469E55B-EF37-4E08-A39B-5774F91DB50B}"="X1 Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"="Adobe.Acrobat.ContextMenu"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}"="TrojanHunter Menu Shell Extension"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
cdfview.dll Sun 3 Jul 2005 4:15:24 A.... 152.064 148,50 K
mshtml.dll Wed 20 Jul 2005 4:04:36 A.... 3.012.096 2,87 M
mshtmled.dll Sun 3 Jul 2005 4:15:28 A.... 448.512 438,00 K
msrating.dll Sun 3 Jul 2005 4:15:28 A.... 146.432 143,00 K
wininet.dll Sun 3 Jul 2005 4:15:28 A.... 664.064 648,50 K
hashlib.dll Tue 12 Jul 2005 15:35:14 A.... 117.976 115,21 K
iepeers.dll Sun 3 Jul 2005 4:15:24 A.... 251.392 245,50 K
browseui.dll Sun 3 Jul 2005 4:15:24 A.... 1.019.904 996,00 K
gcunco~1.dll Tue 12 Jul 2005 15:35:10 A.... 95.448 93,21 K
gccoll~1.dll Tue 12 Jul 2005 15:35:14 A.... 126.680 123,71 K
umpnpmgr.dll Thu 30 Jun 2005 4:05:34 A.... 119.296 116,50 K
mscms.dll Wed 29 Jun 2005 3:49:40 A.... 74.240 72,50 K
icm32.dll Wed 29 Jun 2005 3:49:40 A.... 254.976 249,00 K
urlmon.dll Sun 3 Jul 2005 4:15:28 A.... 605.696 591,50 K
shlwapi.dll Sun 3 Jul 2005 4:15:28 A.... 474.112 463,00 K
shdocvw.dll Sun 3 Jul 2005 4:15:28 A.... 1.484.288 1,41 M
pngfilt.dll Sun 3 Jul 2005 4:15:28 A.... 39.424 38,50 K
inseng.dll Sun 3 Jul 2005 4:15:24 A.... 96.768 94,50 K
tapisrv.dll Fri 8 Jul 2005 18:28:24 A.... 249.344 243,50 K

19 items found: 19 files, 0 directories.
Total of file sizes: 9.432.712 bytes 8,99 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC96-86D2

Verzeichnis von C:\WINDOWS\System32

13.06.2005 18:57 1.056 KGyGaAvL.sys
13.06.2005 18:56 8 DF13640DBE.sys
16.10.2004 23:30 <DIR> Microsoft
16.10.2004 22:51 <DIR> dllcache
2 Datei(en) 1.064 Bytes
2 Verzeichnis(se), 1.156.362.240 Bytes frei

Sabina

23.09.2005 11:35

Hallo@aknox
es ist alles sauber ;)

P.S: @Wildone, gut, dass du mich benachrichtigt hast und auf weitere gute Zusammenarbeit ;)

aknox

23.09.2005 11:41

Ich wusste es, Ihr beiden seid die Besten! Echt ... was würden man ohne so Leute machen! Danke nochmal! Betreue selbst auch seit 8 Jahren ein ehrenamtliches und schweißtreibendes Internetprojekt (im Bereich Musik) und weiss, dass es wirklich nicht selbstverständlich ist so viel und konsequente Hilfe zu bekommen. Danke!!

Freue mich wieder auf ungestörte Internetstunden! Darf man Eure Hilfsbereitschaft weiterempfehlen :)?

Ganz viele Grüße,
Armin

Wildone

23.09.2005 11:59

Hallo,

Zitat:

Freue mich wieder auf ungestörte Internetstunden! Darf man Eure Hilfsbereitschaft weiterempfehlen ?

Ich glaube das sollte im Sinne des Erfinders sein :D Insofern klares ja.
Um übrigens noch mal auf die Frage zu Antispywareprogramme zurückzukommen, ich komme eigentlich ganz gut mit der Kombination Ad-Aware und Spybot zurecht, ich glaube das Problem bei dir ist das du Programme aus fragwürdigen quellen ausführst, da sollte einfach deine Hemmschwelle höher sein, denn eine Software bewahrt dich davor nur in den seltensten Fällen.

@Sabina

Zitat:

Wildone, gut, dass du mich benachrichtigt hast und auf weitere gute Zusammenarbeit

Jederzeit wieder, man muss halt seine Grenzen kennen, insofern wird die Zusammenarbeit ev. etwas einseitig :D . Ich versuche mich gerade etwas in die Materie einzuarbeiten(l2mfix logs), kannst du mir da noch ein paar Tipps geben nach was genau du da schaust, bzw. Links zum Thema?

Grüße Wildone

Sabina

23.09.2005 12:03

Hallo@Wildone

Zitat:

kannst du mir da noch ein paar Tipps geben nach was genau du da schaust, bzw. Links zum Thema?

als der Lok2me vor einiger Zeit aktuell war, habe ich mich viel damit beschaeftigt , allerdings ist es nicht immer die guard.temp-Variante, es gibt andere, die hartnaeckiger sind.
Du musst im Grunde auf die Eintraege achten (in diesem spezifischen Fall), die ich aus der Registry rausgeloescht habe.

aknox

23.09.2005 12:09

Meine Weiterempfehlung ist Euch sicher! Danke!

Zu den Programme S&D ist doch nur ein Scanner, oder auch ein Überwachungstool? Ich habe es zwar immer minimiert geöffnet, aber irgendwie hatte ich noch nicht das gefühl das S&D im Betrieb schützt.

Adaware ist ja leider auch kostenpflichtig ... habe schon bein PestPatrol lange überlegt, aber es sollte angeblich super sein.

Mal sehen, vielleicht habe ich ja auch nur nie richtig geguckt. Ich werd´s bald tun! :)

Wildone

23.09.2005 12:09

Hallo,
ich glaube es ist am besten wenn ich einfach ein wenig in alte Threads u.ä. reinschaue, damit ich mal ein Gefühl dafür bekomme.
Auf jeden Fall noch mal vielen Dank fürs unter die Arme greifen und wenn ich wieder mal Hilfe brauche, oder eine konkrete Frage zum Thema habe melde ich mich. :party:

Grüße Wildone

Sabina

23.09.2005 16:08

Hallo@aknox

eingeschraenktes Benutzerkonto ;)
http://virus-protect.net/virusprotec...nistrator.html

Microsoft Windows Antispy (kostenlos und mit dem Guard aktiviert, sehr gut ) ;)
http://virus-protect.net/virusprotect/ms.html

aknox

24.09.2005 18:39

Hallo nette Helfer,

unverhofft ... kommt oft :crazy: Nachdem nun mein Rechner dank Eurer Hilfe gesäubert wurde, habe ich mich heute mal dem PC von meinem Vater angeschaut, der auch eine Virusmeldung angezeigt bekam. Ich konnte meinen Augen nicht trauen, als der CWS-Shredder ebenfalls eine Look2Me-Infizierung festgestellt und "removed" hat. Diesmal ist laut CWS-Shredder-Meldungen Look2Me nach der ersten Säuberung nicht mehr auf dem System.

Dennoch wird mir weiterhin ein Virus bzw. Trojaner angezeigt in der Datei "C:\\WINNT\system32\sysml.dll" (Virusname: Trojan.Download - laut Norton Anti Virus). Die Datei wird beim Systemstart sofort durch Norton isoliert. Reparieren kann Norton diese angeblich nicht. Egal was ich mache, bei jedem Neustart ist die Datei wieder neu da und wird erneut isoliert usw.

Ich habe schon wirklich viel probiert mit allen gekannten Tools ... ich habe auch mit BartPE und McAfee Stinger die Platte gescannt ... er findet auch nichts.

eScan war etwas sensibler und spuckte folgende Meldungen aus:

File C:\WINNT\system32\aklsp.dll infected by "Trojan-Downloader.Win32.Agent.br" Virus! Action Taken: No Action Taken.
File C:\WINNT\nkxut.dll infected by "Trojan-Dropper.Win32.Small.nz" Virus! Action Taken: No Action Taken.
File C:\WINNT\angfctcd.dll infected by "Trojan-Dropper.Win32.Small.nz" Virus! Action Taken: No Action Taken.
Object "addestroyer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "addestroyer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "UCmore adware Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Topconverting.com/180Search "IEMenuExtension" toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "addestroyer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bargainbuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "TopConverting Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Virtual Bouncer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "NetworkEssentials Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bargainbuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "DeskAd.Service Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "vx2 Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "SubmitHook Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Elite toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
File C:\WINNT\angfctcd.dll infected by "Trojan-Dropper.Win32.Small.nz" Virus! Action Taken: No Action Taken.
File C:\WINNT\IEMenuExtension.exe tagged as "not-a-virus:AdWare.ToolBar.Ucmore.a". Action Taken: No Action Taken.
File C:\WINNT\mstasks2.exe infected by "Trojan.Win32.Favadd.c" Virus! Action Taken: No Action Taken.
File C:\WINNT\nkxut.dll infected by "Trojan-Dropper.Win32.Small.nz" Virus! Action Taken: No Action Taken.
File C:\WINNT\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus! Action Taken: No Action Taken.
File C:\WINNT\toolbar.exe infected by "Trojan.Win32.LowZones.v" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\akcore.dll tagged as "not-a-virus:AdWare.Coreak". Action Taken: No Action Taken.
File C:\WINNT\system32\aklsp.dll infected by "Trojan-Downloader.Win32.Agent.br" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\akrules.dll infected by "Trojan-Downloader.Win32.Agent.bt" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\akupd.dll infected by "Trojan-Downloader.Win32.Agent.br" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\mac80ex.idf tagged as "not-a-virus:AdWare.BargainBuddy.l". Action Taken: No Action Taken.
File C:\WINNT\system32\netut80ex.vxd tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\WINNT\system32\nltdtect.dll tagged as "not-a-virus:AdWare.Look2Me.u". Action Taken: No Action Taken.
File C:\WINNT\system32\psis80ex.ax tagged as "not-a-virus:AdWare.BargainBuddy.l". Action Taken: No Action Taken.
File C:\WINNT\system32\qlpoclvm.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\temp.fr358F tagged as "not-a-virus:AdWare.Look2Me.u". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\C\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat infected by "Trojan.Win32.Dialer.fy" Virus! Action Taken: No Action Taken.

Könnt Ihr mir evtl. nochmal sagen, welche Dateien ich wie löschen soll? Möchte nicht das System zerschießen. Diesmal handelt es sich übrigens um Win2000Pro ... hat mit den bisherigen Programmen aber kein Unterschied gemacht.

Wäre Euch wieder sehr dankbar wenn Ihr mir erneut so gut aus der Patsche helfen könntet. Da scheinen ja wieder einige Dinger zu laufen. Danke schon mal für Eure Hilfe.

Gruß,
Armin

aknox

24.09.2005 19:15

Fast hätte ich´s vergessen ... das hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:25, on 24.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\DWRCST.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NavNT\vptray.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\wmx_win.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINNT\system32\MsiExec.exe
E:\AntiTrojan\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer by Maxdata
R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [INITCAPI.EXE] C:\WINNT\system32\initcapi.exe
O4 - HKLM\..\Run: [NijSrv32] C:\WINNT\nijsrv.exe
O4 - HKLM\..\Run: [JazSrv32] C:\WINNT\jazsrv.exe
O4 - HKLM\..\Run: [HkfSrv32] C:\WINNT\hkfsrv.exe
O4 - HKLM\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinMail32SpoolSrv] C:\WINNT\wmx_win.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O15 - Trusted Zone: http://*.SBS
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 69.50.161.82
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: HICOM LAN Bridge VCapiDrv (vcapidrv) - Unknown owner - C:\WINNT\system32\vcapintsvc.exe

aknox

24.09.2005 19:35

Habe irgendwie den verdacht, dass folgender Registry-Eintrag damit zutun haben könnte:

HKEY_LOCAL_MACHINE>Software>Microsoft>DownloadManager

Habe den Eintrag mal gelöscht und es kam zeitweise keine Meldung mehr. Nach ein paar Minuten kam die dann doch wieder und auf einmal war auch der Registry EIntrag "DownloadManager" wieder da :(

Könnte das ein Lösungsweg sein?

Wildone

24.09.2005 19:39

Hallo,
da ich Baketball Fan bin habe ich jetzt keine Lust drüber zu gehen, entweder ich schaue es mir mal danach an, oder, was wahrscheinlicher ist, ich schaue morgen drüber. Bitte lösche keine Sachen bei denen du dir nicht sicher bist, damit machst du es ev. nur noch schlimmer.
Du könntest aber schon mal ein paar Antispywaretools drüberlaufen lassen, Spybot, Ad-Aware, Ewido.

Grüße Wildone

aknox

24.09.2005 19:42

S&D & Adaware finden nichts :(

Ewido hat einiges gefunden und gleich "gesäubert". Nun find auch Ewido keine Infizierung mehr ... die Norton Meldung bzgl. sysml.dll wird aber nachwievor angezeigt. Wenn ich den Eintrag (nach Anleitung von MicroTrend) aus der Registry lösche, habe ich ein paar Minuten lang Ruhe ... nach ca. 10 min. ist der eintrag aber wieder da und die meldung erscheint erneut. Der Rechner ist übrigens hier nicht mit dem Internet verbunden.

Welcher Scanner oder Handmethode kann nun diesen Virus/Trojaner und Registry Eintrag "DownloadManager" dauerhaft löschen?

aknox

24.09.2005 20:26

Mal viel Spaß beim Baskettball ... habe das Gefühl Ewida hat´s gesäubert. Wieso ist das Programm soviel leistungsfähiger als alle anderen??

Ich mache gerade nochmal ein Norton Scan ... normal hat er spätestens nach 9min einen virus gefunden ... mal sehen ... ich melde mich!

Sabina

24.09.2005 20:30

Hallo@

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

poste hier alle 4 logs, (ca. 2 Monate zurueck im Datum)
http://nikita.eddys-domain.de/datfindbat.html

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"-->Remove
und loesche die aklsp.dll
(eventuell musst du die dll von links nach rechts bringen)

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\nkxut.dll
C:\WINNT\system32\sysml.dll
C:\WINNT\angfctcd.dll
C:\WINNT\IEMenuExtension.exe
C:\WINNT\mstasks2.exe
C:\WINNT\SSK_B5.EXE
C:\WINNT\toolbar.exe
C:\WINNT\winsnt.exe
C:\WINNT\nijsrv.exe
C:\WINNT\jazsrv.exe
C:\WINNT\hkfsrv.exe
C:\WINNT\wmx_win.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\temp.fr358F
C:\Dokumente und Einstellungen\C\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat
C:\WINNT\system32\akcore.dll
C:\WINNT\system32\akrules.dll
C:\WINNT\system32\akupd.dll
C:\WINNT\system32\mac80ex.idf
C:\WINNT\system32\netut80ex.vxd
C:\WINNT\system32\nltdtect.dll
C:\WINNT\system32\psis80ex.ax
C:\WINNT\system32\qlpoclvm.dll
C:\WINNT\system32\initcapi.exe

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)

O4 - HKLM\..\Run: [INITCAPI.EXE] C:\WINNT\system32\initcapi.exe
O4 - HKLM\..\Run: [NijSrv32] C:\WINNT\nijsrv.exe
O4 - HKLM\..\Run: [JazSrv32] C:\WINNT\jazsrv.exe
O4 - HKLM\..\Run: [HkfSrv32] C:\WINNT\hkfsrv.exe
O4 - HKLM\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - HKLM\..\Run: [WinMail32SpoolSrv] C:\WINNT\wmx_win.exe
O4 - HKCU\..\Run: [winsnt] C:\WINNT\winsnt.exe
O15 - Trusted Zone: http://*.SBS
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 69.50.161.82
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

PC neustarten

hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
http://www.funkytoad.com/download/hoster.zip

•AdAware-VX2
#Ad-aware SE Personal
http://nikita.eddys-domain.de/adaware.html

# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/...2cleaner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.

scanne mit panda und berichte
http://virus-protect.net/onlinescan.html

poste das neue Log vom HijackTHis

aknox

24.09.2005 20:45

Ewida hat´s echt geschafft! Danke für den Tipp und noch vieeeel Spaß beim Basketball!

@Sabina: werde gleich mal deine Tipps befolgen ... wobei ich bereits einigen nach deinen letzten tipps befolgt habe. Danke!!

Sabina

24.09.2005 20:55

ich bin vom verseuchten System ausgegangen, ich weiss nicht, was ewido schon geloescht hat und du hast, wie stets, nicht den scanreport gepostet......

aknox

25.09.2005 14:55

Sorry, nachdem ich gestern das System nochmal mit allen progs gecheckt habe und kein Programm, Virus oder Trojaner mehr gefunden wurde, habe ich mich entschlossen, den PC wieder in diesem Zustand zurückzugeben. "Never change a runnig system" ;) ... ich hoffe, ich fahre diesmal damit gut. Möchte nicht noch im letzten Moment das System zerhacken und scheinbar hat Ewido ganze Arbeit geleistet!

Tausend Dank nochmal für die schnelle Reaktion!!

Gruß,
Armin

Sabina

25.09.2005 15:45

Das System zerhacken, indem man die Malware entfernt?
Und man sollte sich auch nicht auf nur einen Virenscanner verlassen.
Ausserdem ist ein Virus auf dem PC, der nur mit einem Spezialtool (LSPfix.exe) entfernt werden kann.
Aber du musst wissen, was du mit dem PC machst......

Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55