Neuer besonders fieser Trojaner?
 

Habe gestern abend Zonealarm (mit den Trial-Zusätzen) installiert und heute anscheinend einen Trojaner mit Spywarewarnung bekommen. Bisher hatte ich keine Probleme. (Kann natürlich Zufall sein. Durch die neue Software war ich Deppin aber leider weniger aufmerksam und bin in die Falle getappt):
Fenster "Windows Security Alert" erscheint mit: "Internet attack attept detected usw." Nach dem Schliessen des fensters kommen dann noch andere. Ich habe irgendwann auf download, install oder sowas ähnliches klicken müssen, weil sonst nix mehr ging.

Nun habe ich mit HijackThis schon mehrmals folgenden Eintrag gefixt:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2, aber er ist nach Neustart wieder da.

Bitte helft mir doch, und bedenkt, auch, wenn ich HijackThis habe, bin ich ansonsten doch eine ziemliche Newbie, was Viren/Trojaner angeht.


Hier meiin HijackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 18:17:54, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\duocore.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für Eure Hilfe!
Liebe Grüße, Lea

P.S. Um euch nicht zu sehr mit Arbeit zu erschlagen, habe ich erst nach ähnlichen Beiträgen gesucht ("softwarereferral"), aber alle zwölf, die ich fand wurden nicht beantwortet :-( Allerdings sind sie auch ziemlich neu.

Halli hallo Lea.

das war der größte Fehler den du hättest machen können!! Kann gut sein, dass deine Kiste ist nicht mehr zu retten ist.

Lasse mal bitte folgende Dateien auf VT auswerten und poste das Ergebnis:

" C:\WINDOWS\duocore.dll "

" C:\WINDOWS\wmpenv.dll "

Gruß

Undoreal

liebe(r) undoreal,

danke, dass du dich um mich kümmerst und sorry dass es so lange dauerte bei mir, aber hier gehen ständig verschiedene fenster auf und ich muss sie dann im Taskmanager schliessen

die erste datei gibt es bei mir nicht im windows (XP), kann das sein? Im moment kann ich leider nicht mal mehr im ordner runterscrollen weil der pc nicht reagiert :-(

die zweite hab ich eingegeben und das ist das ergebnis:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 -
Authentium 4.93.8 2007.08.25 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.25 Clicker.IEM
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.25 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.25 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.25 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.25 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 Trojan-Downloader.Win32.Agent.bjc
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 AdClicker-FC
Microsoft 1.2803 2007.08.25 Trojan:Win32/Agent.gen!L
NOD32v2 2484 2007.08.25 Win32/Adware.Agent.NAV
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.25 Adware/VideoPlugin
Prevx1 V2 2007.08.25 Trojan.SystemPoser
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.25 -
weitere Informationen
File size: 241664 bytes
MD5: 5d6395586a30ef8129586478241e6925
SHA1: d79151fdc7c717925715614eeb557c83a3577571
Prevx info: WMPENV.DLL - Prevx


nachtrag: die duocore.dll datei gibt es tatsächlich nicht in meinem windows-ordner

Lieber ist O.K. ;)

das macht doch nichts! Außerdem hat es doch garnicht lange gedauert... :)

das kann eigentlich nicht sein. Versuche es bitte noch einmal und diesmal so wie es in dem Link meiner Signatur " Suchen und Finden von Dateien" beschrieben steht...

lg

Undoreal

lieber undoreal,

vorhin hatte ich zwar tatsächlich nur versteckte dateien anzeigen lassen (du kennst deine pappenheimer, was?) und nicht auch die geschützten systemdateien, aber selbst, wenn ich die auch aktiviere, gibt es in meinem windows-ordner immer noch keine duocore.dll.

ich hatte heute mittag noch cccleaner drüberlaufen lassen und alles gelöscht, was das programm vorgeschlagen hatte, evtl auch bei HiJackThis noch was anderes mir unbekanntes gefixt ausser dem bereits geposteten eintrag. könnte das daran liegen? ich könnte ja mal wieder neustart machen, aber der hat die letzten male schon gefährlich gemuckt: jedes zweite mal nur uniblauer bildschirm ohne jegliche leisten buchstaben icons oder fenster.

(apropos: sollte ich die systemwiederherstellung abschalten oder nicht?)

schöne grüsse
lea

jup! kannst du ruhig schon machen.. ich nehme mal an, dass du schon versucht hast dein System zu einem früheren Zeitpunkt wiederherzustellen..

lasse HJt bitte noch einmal laufen und gucke nach ob dieser Eintrag noch auftaucht bzw. poste einfach das Logfile wie beim letzten mal.. (Das alte log solltest du vorher umbenennen)

Gruß

Undoreal

Danke für deine schnelle Antwort, lieber undoreal!

a) Systemwiederherstellung hab ich noch nie gemacht, hab Angst dass ich was falsch mache

b) HJT-Protokoll
Logfile of HijackThis v1.99.1
Scan saved at 23:23:54, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2]UltimateCleaner 2007[/url]
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

b) O.k. der ist tatsächlich nicht mehr drinn.

a) wird wahrscheinlich eh nichts mehr bringen also lotse ich dich da jetzt nicht durch.. ( Generell suchst du dir aber nur einen Zeitpunkt aus zu dem du dein System zurücksetzten möchtest. Alle nach diesem Zeitpunkt ausgeführten Änderungen werden aufgehoben. Also im IdealFall auch die Infizierung mit einem Schädling)


Mache weiter wie folgt: Poste alle entstehenden LogFiles (evtl. im Ordner des Progs vorhanden)



Gruß

Lieber undoreal,

Hier ein Zwischenbericht:

Bin bis auf ein paar Stunden Schlaf ununterbrochen am Scannen, aber leider immer noch nicht durch. Allein das Java deinstallieren dauerte fast ne Stunde, die diversen Scanns oft mehrere Stunden.

Updaten macht bei Antivir, Spybot und Ad-Aware große Schwierigkeiten, bei Spybot hat es jetzt endlich geklappt und ich hab dort auch schon 12 Probleme behoben.

Manche Programme musste/muss ich mehrmals scannen, Ad-Aware hat schon zum zweiten mal nach knapp 4 Stunden die Fehlermeldung gebracht, Service Error 6000, lost connection".

Antivir hab ich ganz deinstallierten müssen und das neueste Programm downgeloadet, hab es aber trotzdem immer noch nicht nicht updaten können. Einmal fing das Update sogar an, brach aber nach 10% ab, danach nicht mal das mehr. Zur Zeit scanne ich mit der immerhin neuesten, aber nicht upgedateten Version bei einer geschwindigkeit von 1% pro 10 min ( Stand momentan: 11,2 %)

Der Desktop macht noch viele Sperenzchen: die Tastleiste verschwindet öfters ganz, mal ist links oben ein weisses Feld, rechte Maustaste zeigt unpassende Aktionen an, aber das geht schon irgendwie.

Aber das Beste ist doch: Seit Smidfraudfix kommen die elenden IE-Fenster nicht mehr ständig und stören mich !!!

Ich denke, ich poste alle logs zusammen, dann hast du es einfacher, falls du die bieherigen logs schon mal haben willst, sag kurz Bescheid.
Ansonsten bis morgen oder so, wenn alles klappt.

Liebe Grüße!

Lea, die soeben bemerkt hat, wie schön draussen das Wetter ist und die elendlange vorrauszusehende Scanzeit von Antivir ausnutzen will, um etwas Fahrrad zu fahren.

Blacklight:

08/26/07 00:38:57 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 00:38:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 00:39:02 [Note]: 7019 4
08/26/07 00:39:02 [Note]: 7005 0
08/26/07 00:39:13 [Note]: 7006 0
08/26/07 00:39:13 [Note]: 7011 420
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:38 [Note]: FSRAW library version 1.7.1022
08/26/07 00:45:35 [Error]: 6019 0
08/26/07 00:45:35 [Error]: 6017 0
08/26/07 00:46:44 [Note]: 7007 0


Silent Runners:
eingefroren


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:03:23, on 26.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


zweiter Blacklight (der erste ging verdächtig schnell):

08/26/07 01:32:49 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 01:32:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 01:32:49 [Note]: 7019 4
08/26/07 01:32:49 [Note]: 7005 0
08/26/07 01:33:17 [Note]: 7006 0
08/26/07 01:33:17 [Note]: 7011 3568
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:27 [Note]: FSRAW library version 1.7.1022
08/26/07 01:53:25 [Note]: 7007 0



Silent Runners:

"Silent Runners.vbs", revision 52, h**p://ww.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [file not found]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{927EAB1E-B568-4E78-B8E9-36CFC439FE3B}" = "PdfGrabber Context Menu Shell Extension"
-> {HKLM...CLSID} = "PdfGrabber Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\PdfGrabber 3.0\PdfGrabberShellExt.dll" [null data]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [file not found]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}
"DisableTaskMgr" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Active Desktop web content (hidden if disabled):
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""
Enabled Scheduled Tasks:
------------------------
"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers:
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
Extensions (Tools menu items, main toolbar menu buttons):
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B13B4423-2647-4CFC-A4B3-C7D56CB83487}\
"ButtonText" = "Share in Hello"
"MenuText" = "Share in H&ello"
"CLSIDExtension" = "{B13B4423-2647-4cfc-A4B3-C7D56CB83487}"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points:
------------------------------
HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]
Redirected Port\Driver = "redmonnt.dll" [null data]
---------- (launch time: 2007-08-26 01:24:35)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 254 seconds, including 17 seconds for message boxes)


SmitFraudFix 1: Scan

SmitFraudFix v2.216
Scan done at 1:17:04,19, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\privacy_danger FOUND !
C:\WINDOWS\wmpconf.dll FOUND !
C:\WINDOWS\wmpenv.dll FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Lea\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\VideoAccessCodec\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.142
DNS Server Search Order: 217.237.150.205
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

SmitFraudFix 2: Killing im abgesicherten Modus

SmitFraudFix v2.216
Scan done at 2:10:59,98, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\main_uninstaller.exe Deleted
C:\WINDOWS\privacy_danger\ Deleted
C:\WINDOWS\wmpconf.dll Deleted
C:\WINDOWS\wmpenv.dll Deleted
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url Deleted
C:\Programme\VideoAccessCodec\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End


ComboFix

ComboFix 07-08-25.2 - "Lea" 2007-08-26 2:25:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.85 [GMT 2:00]
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\DOKUME~1\Gast\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\FAVORI~1\Error Cleaner.url
C:\DOKUME~1\Lea\FAVORI~1\Privacy Protector.url
C:\DOKUME~1\Lea\FAVORI~1\Spyware&Malware Protection.url
c:\RECYCLER\desktopA.sys
C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 01:39 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-26 01:17 1,544 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-26 01:16 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-26 01:16 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-26 01:16 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-25 12:01 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\MailFrontier
2007-08-24 23:51 <DIR> d-------- C:\Programme\DVD2SVCD
2007-08-24 23:11 <DIR> d-------- C:\Programme\Super_DVD_Creator_9.5
2007-08-23 22:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
2007-08-23 22:21 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-23 22:19 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-08-23 22:19 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-08-23 22:19 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-08-23 22:19 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-08-23 22:18 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-08-23 22:18 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-23 22:17 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-08-23 22:17 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-08-23 22:17 399,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-08-23 22:14 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-08-23 22:13 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-23 22:13 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-23 22:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-08-22 00:39 <DIR> d-------- C:\Programme\DVD Shrink DE
2007-08-22 00:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-21 17:03 <DIR> d-------- C:\Programme\Pegasys Inc
2007-08-21 17:03 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Pegasys Inc
2007-08-21 15:12 <DIR> d-------- C:\Programme\Simple Sudoku
2007-08-21 15:12 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Simple Sudoku
2007-08-19 20:28 <DIR> d-------- C:\Programme\DVDx
2007-08-19 18:58 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-08-19 18:57 <DIR> d-------- C:\Programme\Avi2Dvd
2007-08-19 12:06 <DIR> d-------- C:\divx
2007-08-19 11:22 <DIR> d-------- C:\Programme\AC3Filter
2007-08-18 19:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BCL Technologies
2007-08-18 15:06 <DIR> d-------- C:\Programme\BSW
2007-08-18 14:23 <DIR> d-------- C:\Programme\BrettspielWelt
2007-08-18 10:49 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-17 21:25 <DIR> d-------- C:\Programme\TGeb
2007-08-14 08:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2007-08-14 08:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\ACD Systems
2007-08-14 07:17 <DIR> d--hs---- C:\WINDOWS\CSC
2007-08-13 18:19 <DIR> d-------- C:\Programme\Opera
2007-08-13 18:18 <DIR> d-------- C:\Programme\AutoUpdate
2007-08-13 18:18 <DIR> d-------- C:\Programme\Artwork
2007-08-13 05:40 <DIR> d-------- C:\Programme\AVS4YOU
2007-08-13 05:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-08-13 00:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-13 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-13 00:12 476,314 --a------ C:\Programme\bandit_15.exe
2007-08-13 00:12 175,616 --a------ C:\Programme\soegel32.dll
2007-08-13 00:12 1,300,992 --a------ C:\Programme\soegel15.dll
2007-08-12 23:53 <DIR> d-------- C:\Programme\Emailprogramme
2007-08-12 23:28 <DIR> d-------- C:\Programme\MSSoap
2007-08-12 23:27 <DIR> d-------- C:\Programme\SpeechEngines
2007-08-12 23:26 <DIR> d-------- C:\Programme\System
2007-08-12 23:24 <DIR> d-------- C:\Programme\Textprogramme
2007-08-12 23:20 <DIR> d-------- C:\Programme\Uebriges
2007-08-12 23:19 <DIR> d-------- C:\Programme\Systemprogramme
2007-08-12 23:11 <DIR> d-------- C:\Programme\Bildbearbeitung
2007-08-12 23:09 <DIR> d-------- C:\Programme\Viren etc
2007-08-12 23:08 <DIR> d-------- C:\Programme\Audioprogramme
2007-08-12 22:58 <DIR> d-------- C:\Programme\DVD Programme
2007-08-12 17:55 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Media Player Classic
2007-08-12 00:52 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-08-12 00:52 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-08-12 00:51 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-08-12 00:51 5,600 --a------ C:\WINDOWS\system\winaspi.dll
2007-08-12 00:51 48,128 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-08-12 00:51 4,672 --a------ C:\WINDOWS\system\wowpost.exe
2007-08-12 00:51 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-08-12 00:51 23,936 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2007-08-12 00:51 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-08-12 00:51 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-08-12 00:51 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-08-11 22:50 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2007-08-11 19:00 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\AVS4YOU
2007-08-11 15:43 31,067,084 --a------ C:\mvinfo.bin
2007-08-07 13:51 <DIR> d-------- C:\8881_PMPVLC009binaries
2007-08-07 01:18 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-08-07 01:07 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\DivX
2007-08-07 01:04 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-08-07 01:04 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-08-07 01:04 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-08-06 19:38 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-08-06 19:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-08-06 19:02 <DIR> d-------- C:\RegBackups
2007-08-06 18:44 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-06 14:45 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\TuneUp Software
2007-08-06 14:05 17,024 --a------ C:\WINDOWS\system32\drivers\usbohci.sys
2007-08-06 00:24 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\dvdcss
2007-08-05 23:54 <DIR> d-------- C:\EasyDivX
2007-08-05 22:20 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-05 22:20 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-08-05 22:20 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-08-05 22:20 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-25 18:24 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Prevx
2007-08-25 18:04 5036 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-23 22:47 --------- d-------- C:\Programme\fotopost24 photobook
2007-08-23 22:47 --------- d-------- C:\Programme\Dienste
2007-08-23 22:47 --------- d-------- C:\Programme\CUEcards
2007-08-23 22:47 --------- d-------- C:\Programme\ActiveVocabLight
2007-08-19 17:39 --------- d-------- C:\Programme\Ulead Systems
2007-08-18 19:40 --------- d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:56 --------- d-------- C:\Programme\ACD Systems
2007-08-13 00:26 --------- d-------- C:\Programme\FoneSync
2007-08-13 00:15 17 --a------ C:\Programme\stng260.opt
2007-08-13 00:05 818176 ---h----- C:\WINDOWS\system32\wodfamoh.dll
2007-08-12 00:52 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 10:08 --------- d-------- C:\Programme\CCleaner
2007-08-06 03:41 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-08-02 13:49 --------- d-------- C:\Programme\Microsoft Works
2007-08-02 11:17 --------- d-------- C:\Programme\Symantec Shared
2007-08-02 11:11 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-07-31 19:45 149 --a------ C:\Programme\Adobe FEAD_error.log
2007-07-31 17:49 --------- d-------- C:\Programme\ConTEXT
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 13:35 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Prevx
2007-07-29 18:31 --------- d-------- C:\Programme\PDFCreator
2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-07-17 19:21 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\SecondLife
2007-07-16 07:29 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Anvil Studio
2007-07-16 06:53 --------- d-------- C:\Programme\Anvil Studio
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-12 16:19 119146 --a------ C:\Programme\gzip-1.2.4.msdos.exe
2006-03-08 11:41 510696 --a--c--- C:\Programme\GenuineCheck.exe
2005-10-16 20:22 1114806 --a--c--- C:\Programme\Printscreen.exe
2005-05-28 07:33 5568952 --a--c--- C:\Programme\MDAC_TYP nicht kompatibel.EXE
2005-04-26 21:34 2717762 --a--c--- C:\Programme\04_04_tubes.exe
2004-08-17 19:20 2031176 --a------ C:\DOKUME~1\DEFAUL~1\Flash_Video_Exporter.exe
2004-06-27 03:00 79397 --a------ C:\WINDOWS\Fonts.\unins000.exe
2000-02-17 12:25 45 --a------ C:\Programme\bandit.ini
1993-08-19 09:53 39910 --a--c--- C:\Programme\GZIP.EXE
1993-08-19 09:52 121868 --a--c--- C:\Programme\GZIP386.EXE
2001-08-18 19:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 07:57:36 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 07:57:23 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2004-08-04 07:57:28 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-04 07:57:28 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2004-08-04 07:57:28 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2007-05-17 11:28:50 549,376 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-04 07:57:32 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-04 07:58:09 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" []
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" []
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_erinnerung_18_demo.lnk
backup=C:\WINDOWS\pss\p6_erinnerung_18_demo.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PrintScreen starten.lnk
backup=C:\WINDOWS\pss\PrintScreen starten.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Lea^Startmenü^Programme^Autostart^Froggy.lnk]
path=C:\Dokumente und Einstellungen\Lea\Startmenü\Programme\Autostart\Froggy.lnk
backup=C:\WINDOWS\pss\Froggy.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CXMon]
"C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
DevDetect.exe -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
C:\Programme\Gemeinsame Dateien\AOL\1160239680\ee\AOLSoftware.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PicasaNet]
"C:\Programme\Hello\Hello.exe" -b
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxOne]
"C:\Programme\Prevx1\PXConsole.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBCSTray]
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent]
C:\Programme\webHancer\Programs\whagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"SNDSrvc"=3 (0x3)
"PREVXAgent"=2 (0x2)
"NVSvc"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"brmfrmps"=2 (0x2)
"AVG Anti-Spyware Guard"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Microsoft Works Portfolio"=C:\Programme\Microsoft Works\WksSb.exe /AllUsers
"Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
R0 PrevxDriver;PREVX Kernel Mode Agent;C:\WINDOWS\system32\drivers\pxfsf.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 PrevxTdi;PREVX TDI filter;C:\WINDOWS\system32\drivers\pxtdi.sys
R1 PXRDDriver;PREVX Rootkitscan driver;C:\WINDOWS\system32\DRIVERS\pxrd.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys
R3 ham;Creatix V.90 HaM;C:\WINDOWS\system32\Drivers\ham.sys
S1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\C:\DOKUME~1\Lea\LOKALE~1\Temp\Rar$EX01.650\kerneld.wnt
S3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys
S3 PrevxEmulator;PREVX Emulator driver;C:\WINDOWS\system32\drivers\pxemu.sys
S3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-24 15:15:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job
2007-08-21 14:00:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://ww.gmer.net
Rootkit scan 2007-08-26 02:46:09
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-26 2:49:28
C:\ComboFix-quarantined-files.txt ... 2007-08-26 02:49
--- E O F ---

So. ENDLICH FERTIG!

Da ich nur selten ins Internet komme, seit diese Sch***Zonealarm installiert ist und man sie angeblich nicht einfach deinstallieren kann und da der Desktop auch nicht zu gebrauchen ist werde ich nun wohl doch alles plattmachen müssen. Schade um das schöne Wochenende. :headbang:



HijackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 15:20:15, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Prevx2\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\CCleaner\ccleaner.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




iclean log 27.08.2007 15:26:03

Windows XP SP2, Using advanced Kernel functions

Processes
---------
752 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
808 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
832 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
876 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
888 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1048 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1100 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1180 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1260 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1328 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1340 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1596 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1644 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1812 - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service
1824 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1880 - C:\Programme\Prevx2\PXAgent.exe - Prevx Agent (Signed)
2044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
292 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
312 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2824 - C:\WINDOWS\Explorer.EXE - Windows Explorer
3048 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
3108 - C:\Programme\SPYWAREfighter\spftray.exe - Spywarefighter Tray (Signed)
3120 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
3144 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
3228 - C:\Programme\SPYWAREfighter\spfprc.exe - SpywareFighter (Signed)
3988 - C:\Programme\CCleaner\ccleaner.exe - C:\Programme\CCleaner\ccleaner.exe
3072 - C:\PROGRA~1\MOZILL~1\FIREFOX.EXE - Firefox (Signed)
212 - C:\Dokumente und Einstellungen\Lea\Eigene Dateien\Downloads\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\lavasoft\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
c:\programme\prevx2\pxagent.exe=PREVXAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
c:\programme\spywarefighter\spfprc.exe=SPYWAREfighterRP
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: !AVG Anti-Spyware="c:\programme\grisoft\avg anti-spyware 7.5\avgas.exe" /minimized
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: spywarefighterguard=c:\programme\spywarefighter\spftray.exe
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\programme\spybot - search & destroy\sdhelper.dll ()
030=BHO: {55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=c:\dokumente und einstellungen\all users\anwendungsdaten\prevx\pxbho.dll (URLDetector Class)
031=Toolbar: {00000000-0002-0002-0000-000000000000}=(null)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null)
032=RestrictedZOne: *.00hq.com
(noch ca. 1000 weitere derartige Adressen)

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Hey Lea.

wie kommt der denn nun auf deinen Rechner? :balla:

Da ist aber 'ne ganze Menge Murks am Start. Willst du Neuaufsetzten?

Anleitung ist in meiner Signatrur verlinkt..

Hi Sunny :party:

lg

Undoreal

Hallo Lea :)

Ok, dann wollen wir mal nachsehen was gelöscht wurde und was nicht!



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2 Bereinigung!)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


Gruß
Sunny

An undoreal:

Ich habe nun drei Tage lang unter äusserst erschwerten Umständen (alles lief wahnsinnig langsam, z.b. Ad-Aware stürzte FÜNFMAL nach jeweils knapp 4 Stunden ab) deine tausende von Programmen downgeloadet und abgearbeitet und die einzige info, die ich daraufhin von dir bekomme ist dass MURKS auf meinen Rechner ist? Ich bin seit tagen völlig fertig mit den Nerven und ich finde Dich errlich gesagt absolut nicht OK !!!

:schrei:

PS

was ist aufsetzen?

Formatieren? ich hab den Rechner fertig bei Aldi gekauft und weiss gar nicht genau wie das geht. Verliere ich dann alle meine Daten?

Spywarefigher wurde mir auf einer Seite als Link angeboten und ich hab den runtergeladen weil Samstag Nacht weder AD Aware noch Spybot funktionierten. Hab natürlich erst gegoogelt ob der ok ist. und das ist er. ODER ?????????? War das falsch oder was meintest du mit deiner Frage ?

Nun mal immer schön ruhig, tief durchatmen und nochmal über alles nachdenken was du da geschrieben hast. :juul:

Dieses Forum dient dem Zweck: User helfen User ...
Ich kann dich ja verstehen das dich die Sache nervt und du langsam am "Ende" bist, aber wir helfen hier freiwillig und wollen dafür auch keine finanzielle Entschädigung, daher dauert es manchmal etwas länger bis jeder die Hilfe bekommt welche er braucht oder auch nicht.

Zum Thema Neuaufsetzen kommen wir später noch, sofern überhaupt nötig, arbeite ein letztes Mal das ab was ich zuerst geschrieben habe. ;)

Und immer schön tief durchatmen .. :daumenhoc

Danke Sunny :)

@ Lea: das war eine einfache Frage und du hättest sie mit einem einfachen Ja oder Nein beantworten können.. ^^

Ich konnte deine Stimmung nur nicht recht interpretieren und wusste nicht ob es dir evtl. langsam viel zu viel wird ;)

Du willst also nicht neuaufsetzten; gut. Dann arbeite doch bitte Sunnys Punkte ab. Dann sehen wir was den Rundumschlag überlebt hat.

lg

Undoreal

Liebe Sunny,

danke, dass du meine Bitte erhört hast!

das mit dem Zitieren krieg ich nicht hin, deshalb schreib ich es so:

Zitat Sunny:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2 Bereinigung!)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans






Das Tool musste ich ja schon auf UNDOREALS Geheiss downloaden und durchführen, aber diesmal - im Normal-Modus, hat es ruckizucki meinen Desktop repariert!!!!

Danke danke danke danke !! Wenn ich das doch nur vorher gewusst hätte, dann wären die letzten beiden Tage einfacher für mich gewesen!


SmitFraudFix v2.216

Scan done at 19:17:09,12, 27.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Eigene Dateien\Virenbek„mpfung August 07\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mbicjwik

*******************

Script file located at: \??\C:\eeojgbje.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\DOKUME~1\Lea\Desktop\Error Cleaner.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Error Cleaner.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url
Status: 0xc000003a



Could not open file C:\DOKUME~1\Lea\Desktop\Privacy Protector.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Privacy Protector.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url
Status: 0xc000003a



Could not open file C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url for deletion
Deletion of file C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url failed!

Could not process line:
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url
Status: 0xc000003a



File C:\WINDOWS\main_uninstaller.exe not found!
Deletion of file C:\WINDOWS\main_uninstaller.exe failed!

Could not process line:
C:\WINDOWS\main_uninstaller.exe
Status: 0xc0000034



File C:\WINDOWS\wmpconf.dll not found!
Deletion of file C:\WINDOWS\wmpconf.dll failed!

Could not process line:
C:\WINDOWS\wmpconf.dll
Status: 0xc0000034



File C:\WINDOWS\wmpenv.dll not found!
Deletion of file C:\WINDOWS\wmpenv.dll failed!

Could not process line:
C:\WINDOWS\wmpenv.dll
Status: 0xc0000034

File C:\WINDOWS\system32\tmp.reg deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Hier kam dann sone Meldung von den Spybot-Programm, dass eine Registrierungsänderung verboten worden wäre





Zitat Sunny:

5.) Lass eScan nochmal laufen






eScan kenn ich nicht, wo gibts das? und wieso nochmal ? Hab das nie gemacht im Gegensatz zu Smidfraudfix :-(



vielen Dank erstmal bishierher,

Liebe Grüsse, Lea

[EDIT] ist egal. ^^ ich schweige

@LEA

/IRONIE AN:

Sei nicht so hart mit unserem undoreal, er wollte dir doch nur helfen. :o
Es ist eigentlich ein ganz lieber Mensch .. :aplaus:

/IRONIE AUS:

Sorry, wegen eScan, hatte die Anleitung falsch geschrieben, eScan ist ein Anti-Virenscanner, diesen nutzen wir aber momentan nicht. ;)

Lass nun nochmal dein gesamtes System mit Antivir überprüfen, wenn nichts mehr gefunden bzw. beanstandet wird, und du selbst auch keine Probleme mehr hast, denke ich das es das gewesen ist. :daumenhoc

Sunny

Liebe Sunny,

huch?

Ich hatte deine Liste doch noch gar nicht fertig abgearbeitet?
Ich musste doch nur erst klarstellen, dass ich das das escan noch nie gemacht hatte und es auch gar nicht kenne!
Hast die Anleitung für mich wohl aus einem Uralt-Beitrag rauskopiert, was ? *gg*



Aber das heisst doch nun nicht, dass ich auch das andere weglassen soll oder? Ich meine dieses Filelist-Programm, was ich mir downloaden sollte?

Hier poste ich dann mal den gewünschten Log davon, und zwar bevor ich mit Antivir scanne, weil das dauert sicher wieder die ganze Nacht durch.

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B

Verzeichnis von C:\

27.08.2007 19:28 8.980 OldSDB_log.txt
27.08.2007 19:27 402.231.296 hiberfil.sys
27.08.2007 19:27 603.979.776 pagefile.sys
27.08.2007 19:27 3.638 avenger.txt
27.08.2007 19:19 1.391 rapport.txt
27.08.2007 07:17 1.276 rollback.ini
26.08.2007 02:49 20.770 ComboFix.txt
26.08.2007 02:49 2.474 ComboFix-quarantined-files.txt
25.08.2007 18:08 212 boot.ini
23.08.2007 23:06 16 UsageTrack.txt
23.08.2007 01:15 13.944 TMPGEnc__2_7_VGA.mpg
12.08.2007 01:19 494 Easydivx_codec.txt
12.08.2007 01:19 2 Easydivx_length.txt
12.08.2007 01:19 2 Easydivx_sub.txt
12.08.2007 01:19 2 Easydivx_video.txt
12.08.2007 01:02 5.616 CLDMA.LOG
11.08.2007 18:29 31.067.084 mvinfo.bin
05.08.2007 11:14 86 SBCSTray.log


----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B

Verzeichnis von C:\WINDOWS\system32

27.08.2007 19:29 58.727 vsconfig.xml
27.08.2007 19:17 0 tmp.txt
27.08.2007 14:52 4.212 zllictbl.dat
25.08.2007 11:58 2.206 wpa.dbl
13.08.2007 00:05 818.176 wodfamoh.dll
12.08.2007 00:52 16.832 amcompat.tlb
12.08.2007 00:52 23.392 nscompat.tlb
12.08.2007 00:51 2.272 w95inf16.dll
12.08.2007 00:51 4.608 w95inf32.dll
11.08.2007 18:49 321.928 FNTCACHE.DAT
06.08.2007 19:38 552 d3d8caps.dat
06.08.2007 19:09 40.128 perfc009.dat
06.08.2007 19:09 311.740 perfh009.dat
06.08.2007 19:09 316.924 perfh007.dat
06.08.2007 19:09 48.354 perfc007.dat
06.08.2007 19:09 722.222 PerfStringBackup.INI
06.08.2007 15:57 0 SBFC.dat
06.08.2007 15:57 0 SBRC.dat
05.08.2007 18:37 664 d3d9caps.dat
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
30.07.2007 17:18 2.916.352 SET1B9.tmp
27.07.2007 01:06 518.904 pxdrv.dll
27.07.2007 01:06 120.056 pxcpyi64.exe
27.07.2007 01:06 72.440 pxhpinst.exe
27.07.2007 01:06 66.296 pxcpya64.exe
27.07.2007 01:06 64.760 pxinsa64.exe
27.07.2007 01:06 129.784 pxafs.dll
27.07.2007 01:06 187.128 pxmas.dll
27.07.2007 01:06 118.520 pxinsi64.exe
27.07.2007 01:06 88.824 vxblock.dll
27.07.2007 01:06 551.672 px.dll
27.07.2007 01:06 1.628.920 pxsfs.dll
27.07.2007 01:06 379.640 pxwave.dll
27.07.2007 01:03 352.401 DivXMedia.ax



Bitte lies dir das noch durch, ja? Ansonsten scanne ich nochmal über nacht und melde mich morgen dann noch mal.



Und Vielen Vielen Dank für die Riesenhilfe!

Ich hab kein Geld, würde mich aber gerne irgendwie revanchieren, evtl gibts ja Recherchen oder Zusammenstellungen oder sonstwas, was ich am PC tun könnte, kannst ja mal drüber nachdenken.


Liebe Grüße

Lea

Dann würde ich sagen, lass den Rechner über Nacht laufen und schlaf mal wieder in Ruhe aus ... ich sehe mir in der Zeit die Filelist an, und morgen geht es dann weiter ... :daumenhoc

da bin ich wieder, auch ausgeschlafen :Boogie: aber das Antivir ist noch nicht ganz durch.

In der Zwischenzeit hab ich mich mal soweit es ging über iclean informiert und bin etwas durcheinander :confused:

Hier ein Zitat aus einem anderen Thread (war nicht bei mir, aber ich habe ähnliche Einträge):

Ich selber habe ca. 1000-1100 solche 032=RestrictedZOne - Einträge, was bedeuten die denn? Weiss das jemand von Euch?
Einen von denen hatte ich "repaired", daraufhin verschwanden alle, aber nach dem Neustart waren auch alle wieder da.

Den Eintrag * 031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null) * hatte ich auch in meinem Protokoll, aber ich sollte ihn nicht behandeln im Gegensatz zu dem Fall aus dem Zitat . Wurde der übersehen oder ist das doch nichts Schlimmes?

LG
Lea


Oh Antivir ist durch, kein Virus gefunden, aber einige Warnungen:


C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Virenjagd\InstallPREVX102010030.exe
[0] Archivtyp: ACE SFX (self extracting)
--> img\bins\2k_2k3_xp\lclbrk.cache.2k
[WARNUNG] Fehler beim Erzeugen der Datei
--> img\bins\AMD64\lclbrk.cache.2k
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\My Shared Folder\download1139044670190194314.dat
[0] Archivtyp: ACE
--> Cafe del Mar - Volumen Ocho - 192Kbs (Full Album)\03 - Afterlife - Sunrise (dj thunda & the k-20 allstars remix).mp3
[WARNUNG] Eine Exception wurde abgefangen!
[WARNUNG] Eine Exception wurde abgefangen!

Hallöle.

Die Einträge zeigen einen Teil der Spybot-Immunisierung die du durch die Installation von SpybotSearchAndDestroy durchgeführt hast. Diese Einträge sind also nicht nur "nicht schädlich" sondern äußerst erwünscht. Das sie nach einem Neustart wieder da sind zeugt davon das Spybot immer eine gute Wahl ist.

Die Nullbyte Tolbar ist ein lästiger Eintrag der in vielen logs auftaucht.

Du kannst den iClean Eintrag markieren und dann auf "repair" drücken...

Die AntiVir Warnungen kannst du ignorieren. Damit würde ich sagen du bist sauber! :Boogie:

PS: Ich würde dir empfehlen SpywareFighter und AVG AntiSpyware vom Rechner zu werfen wenn du das nicht eh schon gemacht hast. Bei Spybot lässt du Wächter(TeaTimer) am besten an. Von deinem Lavasoft-AdAware deaktiviere den Autostart von AdWatch -> Rechtsklick auf das kleine Sysmbol in der Taskleiste -> Einstellungen.

mfg

Undoreal

Hallo Sunny und undoreal,

Das hört sich aber gut an, undoreal! :Boogie:
Die überflüssige Software werde ich gleich deinstallieren, danke für den Hinweis.

Dann möchte ich mich zum schönen Abschluss nochmal ganz herzlich bei euch beiden für eure Mühe bedanken, insbesondere für das mühsame Durchlesen all der "Hyroglyphen" in den vielen Protokollen!

Ihr habt mir beide sehr geholfen! :aplaus:

Ab jetzt bin ich gut gerüstet gegen alle bösen Hacker dieser Welt :snyper:

Machts gut und viel Erfolg weiterhin bei eurer Arbeit, ich trink jetzt einen Piccolo auf euch und alle Erfinder dieser kleinen Rettungsprogramme :juul:


Liebe Grüße, Lea

Na dann mal Prost .. :party:

Huhu ihr Lieben

ich bins nochmal. Hab doch zur Sicherheit nochmal PrevX drüberlaufen lassen und das hat mir was in Quarantäne gestellt, und zwar
C:\EASYDIVX\SOFTS\CK.EXE
Bei Doppelklick bekomme ich folgende Infos von der Prevx-Homepage:



KILL.EXE

Disagree with this determination?

This object has a file size of 21,468 bytes, it is most frequently called KILL.EXE and is most frequently located in the ?:\dvdstuff\claddvd\ folder.
The file header contains the following information:
Vendor : PC-WELT
Product: PC-WELT Task-Killer
Version: 1, 0, 0,

This file is considered unsafe. It was first seen on Thursday, May 17 2007. It has been seen frequently by 169 users in this section of the community. The file was first seen in The UNITED STATES but has been seen in other locations, including GERMANY.
KILL.EXE has been seen to perform the following behaviors:
- The Process is packed and/or encrypted using a software packing process
- Executes a Process
KILL.EXE has been the subject of the following behaviors:
- Process creation
- Process deletion
- Executed a Process


hier dann auch gleich das Protokoll von virustotal.

AntiVir 7.4.1.66 2007.08.29 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.28 -
BitDefender 7.2 2007.08.29 Application.Prockill.AN
CAT-QuickHeal 9.00 2007.08.25 Tool.Pcwelt.a (Not a Virus)
ClamAV 0.91.2 2007.08.29 -
DrWeb 4.33 2007.08.29 -
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
eTrust-Vet 31.1.5093 2007.08.29 -
Ewido 4.0 2007.08.29 -
FileAdvisor 1 2007.08.29 High threat detected
Fortinet 3.11.0.0 2007.08.29 Misc/ProcKill
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.29 -
Ikarus T3.1.1.12 2007.08.29 -
Kaspersky 4.0.2.24 2007.08.29 -
McAfee 5107 2007.08.28 potentially unwanted program ProcKill-AN
Microsoft 1.2803 2007.08.29 -
NOD32v2 2490 2007.08.29 -
Norman 5.80.02 2007.08.29 -
Panda 9.0.0.4 2007.08.29 Application/KillApp.B
Prevx1 V2 2007.08.29 Generic.Malware
Rising 19.38.22.00 2007.08.29 Hack.PSKILL
Sophos 4.21.0 2007.08.29 Task-Killer
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.29 -
TheHacker 6.1.9.175 2007.08.29 -
VBA32 3.12.2.3 2007.08.28 -
VirusBuster 4.3.26:9 2007.08.29 Riskware.Prockill.B
Webwasher-Gateway 6.0.1 2007.08.29 Riskware.Tool.ProcKill.1
weitere Informationen
File size: 21468 bytes
MD5: a0be5f4f4b7e01c85bbbab41f892cf75
SHA1: e47ef11d67d1b3fc6651a960880e0889e3805db2
packers: UPX
packers: UPX
Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=a0be5f4f4b7e01c85bbbab41f892cf75
packers: UPX
Prevx info: h**p://fileinfo.prevx.com/fileinfo.asp?PX5=07E4FD62DCD2998A53EC003DA048C800E9CF1BAC



Was tu ich damit nun? Einfach löschen und gut is?

LG
Lea

Hey Lea.

Nutzt du das Programm " EASYDIVX " ?

Ich denke es ist nicht unbedingt schädlich aber gefährlich.

Lasse die exe in der Quarantäne und suche dir bitte über Start->Systemsteuerung->Software das obern genannte Prog raus. Deinstalliere es. Danach lösche die Quarantäne von PrevX und lasse es nochmal deinen Rechner durchsuchen.

Jaja, PrevX ist nicht zu schlagen..

Gruß

Undoreal

Hey Undoreal,

Ja irgendwie nutze ich es schon. Hab nur eine (dafür die allerbeste - weil seltene - DVD der Welt) und keinen DVD-Spieler und alleVersuche sie irgendwie abzuspielen klappten nicht und überall las ich was von "Codecs mit bestimmten Programmen installieren" und da hab ich mir einige Player und Programme downgeloaded und plötzlich ging es dann eben auch. Ist mir alles ziemlich undurchsichtig :confused:

Bevor ich diese Viren/Pferde/Würmer (tja, was wars denn nun eigentlich ???) bekam, war ich gerade dabei die DVD als SVCD zu brennen, was ein ganz schön schweres Unterfangen für eine ist, die sich an sich nicht auskennt, aber nun bin ich eigentlich fast fertig und würde das auch gerne beenden, insofern weiss ich nicht ob ich das Programm noch nutze. Ist das denn nun wirklich böse oder nicht? Selbst PrevX sagt soweit ich das richtig verstehe bei dem Link im virustotal-Protokoll dass das gar nix böses ist ???

Ansonsten hab ich ja ne frische Trialversion von PrevX, die mir NOCH erlaubt, aus der Quarantäne direkt zu löschen, ginge dann doch auch so oder ?

LG
Lea

das hört sich nach der Quelle deiner Probleme an.

Lade dir NIE Codecs runter ohne das du ganz genau weisst was du tust. Der VLC (VideoLanPlayer) spielt alles ohne Codecs!

verstehe ich nicht. :confused:

Ich würde meiner Anleitung folgen... *hmm.. deshalb ist es ja auch meine.. :lach: *

Undoreal

Ich folge dem super unschlagbaren Programm PrevX2, welches ich mir frisch installiert habe und welches mich (leider nur in den ersten 30 Tagen) die Funktion der "Säuberung" nutzen lässt und genau das habe ich auch getan. Anscheinend kennst du dich doch nicht so sehr aus...

Auch das mit dem VideoLanPlayer ist schlichtweg falsch, was du da behauptest. Ich konnte meine DVD damit erst abspielen, nachdem ich mir "PowerDVD" installiert hatte, welches mit einem Codec kommt. Vieleicht hattest du den bei dir ja drauf oder etwas entsprechendes mit einem Codec, dann mag das sein. Bei mir ging das anfangs nicht. Muss ich noch weitere Zeugen herschaffen? Nein muss ich nicht. Ist mir zu albern...

Und ich denke auch nicht, dass das "die Quelle meiner Probleme" war. Daraus, dass du mir immer noch nicht sagen kannst, ob ich nun einen Virus oder einen Wurm oder einen Trojaner auf meinen PC hatte und das Ganze einmal "kann gut sein, dass deine Kiste nicht mehr zu retten ist" das andere mal "Murks" und nun "Probleme" nanntest, folgere ich zum mehrfachen Mal, dass du zwar gerne helfen möchtest, aber es Dir nicht immer gelingt. Ich habe eher den Eindruck, du möchtest dich etwas aufspielen.

Kann das sein, dass du noch recht jung bist ?
Ach, ist mir auch egal, ich will mich nun nicht länger ärgern...


Lea

das ist ja echt geil

:lach: mg

* PLONK * du Zickescnr