Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe - POP UP's!!! (https://www.trojaner-board.de/26138-hilfe-pop-ups.html)

senpl 23.01.2006 16:02
Hilfe - POP UP's!!!
 
Hallo Ihr Lieben!

Vielleicht kann mir jemand weiterhelfen....

Ich bekomme immer PopUp's, die tierisch nerven. :koch:
Zuerst wars login.tracking, eajmp, jetzt kommt "Free Money making secrets".
Wenn ich das Fesnter zumache, kommt ein kleineres.
Die P's kommen auch, wenn ich mit Firefox arbeite, mit dem IE-Zeichen.

Sämtliche Programme, die ich zum Suchen von Spionen etc. hab durchlaufen lassen, finden nix!!! - Aber irgendwo muss es doch sein?!

Jetzt hab ich grad nochmal die C:\WINDOWS\system32\winlogon.exe
checken lassen:


This is a report processed by VirusTotal on 01/23/2006 at 15:43:11 (CET) after scanning the file "winlogon.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.23.2006 no virus found
Avast 4.6.695.0 01.20.2006 no virus found
AVG 718 01.20.2006 no virus found
Avira 6.33.0.77 01.23.2006 no virus found
BitDefender 7.2 01.23.2006 no virus found
CAT-QuickHeal 8.00 01.23.2006 no virus found
ClamAV devel-20051123 01.21.2006 no virus found
DrWeb 4.33 01.23.2006 no virus found
eTrust-InoculateIT 23.71.57 01.22.2006 no virus found
eTrust-Vet 12.4.2053 01.23.2006 no virus found
Ewido 3.5 01.23.2006 no virus found
Fortinet 2.54.0.0 01.22.2006 no virus found
F-Prot 3.16c 01.20.2006 no virus found
Ikarus 0.2.59.0 01.20.2006 no virus found
Kaspersky 4.0.2.24 01.23.2006 no virus found
McAfee 4679 01.20.2006 no virus found
NOD32v2 1.1375 01.23.2006 no virus found
Norman 5.70.10 01.23.2006 no virus found
Panda 9.0.0.4 01.23.2006 no virus found
Sophos 4.01.0 01.23.2006 no virus found
Symantec 8.0 01.23.2006 no virus found
TheHacker 5.9.2.078 01.20.2006 no virus found
UNA 1.83 01.21.2006 no virus found
VBA32 3.10.5 01.23.2006 no virus found

Verstehe aber nur, dass wieder nix gefunden wurde?

Im Moment lass ich grad nochmal TRENMICRO online durchlaufen

HiJack, Spybot, Norton, SpySweeper, Ad-Aware SE, Rootkit Hook Analyzer
haben nix gefunden

Nun bin ich aber auch nicht besonders schlau, Englisch! und den PC betreffend, mach halt meine Sachen im Internet und hatte sowas wie jetzt noch nie.

Vielleicht kennt das jemand von Euch und hat eine Lösung - ausser formatieren? - für mich? bevor :headbang:

Vielen Dank!

Gruss, Suse

hoerni26 23.01.2006 16:03
hallo,

poste doch mal ein HJT logfile nach anleitung in meiner signatur..

senpl 23.01.2006 16:19
Ich hoffe, das ist so richtig?!

Alle exe durch com ersetzt


gfile of Browser Hijack Recover(BHR) v2.3
http://www.browser-hijack.com/
Log created on 23.01.2006 16:13:29
Microsoft Windows XP Home Edition Service Pack 2 (Build 2600)
Internet Explorer v6.0.2900.2180 Update Versions: ;SP2;

[Process Manager] - [Process]
C:\WINDOWS\System32\smss.com
C:\WINDOWS\system32\csrss.com
C:\WINDOWS\system32\winlogon.com
C:\WINDOWS\system32\services.com
C:\WINDOWS\system32\lsass.com
C:\WINDOWS\system32\Ati2evxx.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\System32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\Ati2evxx.com
C:\WINDOWS\Explorer.com
C:\WINDOWS\system32\spoolsv.com
C:\ATI-CPanel\atiptaxx.com
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.com
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.com
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.com
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.com
C:\Programme\iTunes\iTunesHelper.com
C:\Programme\Java\jre1.5.0_04\bin\jusched.com
C:\WINDOWS\SOUNDMAN.com
C:\Programme\Java\jre1.5.0_04\bin\jucheck.com
C:\WINDOWS\ALCWZRD.com
C:\WINDOWS\system32\ctfmon.com
C:\Programme\Messenger\msmsgs.com
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.com
c:\progra~1\pinnacle\mediac~1\epgspo~2.com
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.com
C:\Programme\Norton AntiVirus\navapsvc.com
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.com
C:\Programme\Norton AntiVirus\SAVScan.com
C:\WINDOWS\system32\svchost.com
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.com
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.com
C:\Programme\iPod\bin\iPodService.com
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.com
C:\WINDOWS\System32\alg.com
C:\WINDOWS\System32\svchost.com
C:\WINDOWS\system32\wscntfy.com
C:\Programme\Outlook Express\msimn.com
C:\Programme\Internet Explorer\IEXPLORE.com
C:\Programme\Browser Hijack Recover\bhr.com

[IE Options] - [Normal]
R0 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com/
R0 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,Window Title =
R1 - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com

[IE Options] - [IE Menu]

[IE Options] - [Internet Options]

[IE Options] - [IE Search Hooks]
R3 - URLSearchHook: Microsoft Url Sucheingriff - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\shdocvw.dll

[IE Add-Ons] - [Toolbars]
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll

[IE Add-Ons] - [Explorer Bars]
O9 - Extra "View" Explorer Bars: Shell Search Band - {21569614-B795-46B1-85F4-E737A8DC09AD} - C:\WINDOWS\system32\browseui.dll
O9 - Extra "View" Explorer Bars: Search Band - {30D02401-6A81-11D0-8274-00C04FD5AE38} - C:\WINDOWS\system32\browseui.dll
O9 - Extra "View" Explorer Bars: File Search Explorer Band - {C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} - C:\WINDOWS\system32\SHELL32.dll
O9 - Extra "View" Explorer Bars: Explorer-Band - {EFA24E64-B078-11D0-89E4-00C04FC9E26E} - C:\WINDOWS\system32\shdocvw.dll

[IE Add-Ons] - [Context Menu]
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.com/3000
O8 - Extra context menu item: RF - &Menü anpassen - C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular sp&eichern - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - RoboForm-&Leiste ein/aus - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

[IE Add-Ons] - [BHOs]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (No Name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (No Name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

[IE Add-Ons] - [Tools Menu]
O9 - Extra "Tool" Menu Item: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra "Tool" Menu Item: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra "Tool" Menu Item: RF - Formular sp&eichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra "Tool" Menu Item: RF - RoboForm-&Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra "Tool" Menu Item: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.com

[IE Add-Ons] - [Tools Button]
O9 - Extra "Tool" Menu Item: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra Button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra Button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra Button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.com

[System Options]

[StartUp]
04 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\system32\ctfmon.com
04 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS = C:\Programme\Messenger\msmsgs.com" /background
04 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run RoboForm = C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Verknüpfung mit der High Definition Audio-Eigenschaftenseite = HDAudPropShortcut.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ATIPTA = C:\ATI-CPanel\atiptaxx.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PMCS = C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.com-host -clearDebug
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PinnacleDriverCheck = C:\WINDOWS\system32\PSDrvCheck.com-CheckReg
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PMCRemote = C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run EM_EXEC = C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run TkBellExe = C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ccApp = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Advanced Tools Check = C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.com/Consumer
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run iTunesHelper = C:\Programme\iTunes\iTunesHelper.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run QuickTime Task = C:\Programme\QuickTime\qttask.com" -atboottime
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run SunJavaUpdateSched = C:\Programme\Java\jre1.5.0_04\bin\jusched.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run SoundMan = SOUNDMAN.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AlcWzrd = ALCWZRD.com
04 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run SpySweeper = C:\Programme\Webroot\Spy Sweeper\SpySweeper.com" /startintray
O4 - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk = C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpobnz08.com
O4 - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpotdd01.com

foker 23.01.2006 16:23
hi ! bei mir kommen auch die verdammten werbe fenster wie z.b:play casino , online gaming ,jackpot city online usw. hab nämlich diese sch.... ordner im meinen favoriten wie cool stuff , online gaming,shooping gifts,internet,travel u. casino online :koch: !! und wenn ich mit Hjt scanne dann findet er diese datei die ich noch nie gehabt hab (O4 - HKCU\..\Run: [Namebone] C:\DOKUME~1\Foker\ANWEND~1\16Keep\Closelog.exe) ,wenn ich sie lösche dann sind sie weg(paar min./std.) , aber die kommen immer wieder !? kann mir da jemand helfen wäre echt cool (stuff) :D ! nein ohne scherz das ist echt lässtig :pukeface: !! MFG foker

senpl 23.01.2006 16:34
Look2Me-Remover

Das habe ich jetzt auch mal laufen lassen - leider NIX!!!

dartus 23.01.2006 16:46
Hallo senpl,

poste bitte ein Hijackthis-Logfile (nicht von "Browser-Hijack").

dartus

senpl 23.01.2006 16:59
Oh, sorry - hoffe dies ist richtig?


Logfile of HijackThis v1.99.1
Scan saved at 16:55:29, on 23.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.com
C:\WINDOWS\system32\csrss.com
C:\WINDOWS\system32\winlogon.com
C:\WINDOWS\system32\services.com
C:\WINDOWS\system32\lsass.com
C:\WINDOWS\system32\Ati2evxx.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\System32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\svchost.com
C:\WINDOWS\system32\Ati2evxx.com
C:\WINDOWS\Explorer.com
C:\WINDOWS\system32\spoolsv.com
C:\ATI-CPanel\atiptaxx.com
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.com
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.com
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.com
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.com
C:\Programme\iTunes\iTunesHelper.com
C:\Programme\Java\jre1.5.0_04\bin\jusched.com
C:\WINDOWS\SOUNDMAN.com
C:\Programme\Java\jre1.5.0_04\bin\jucheck.com
C:\WINDOWS\ALCWZRD.com
C:\WINDOWS\system32\ctfmon.com
C:\Programme\Messenger\msmsgs.com
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.com
c:\progra~1\pinnacle\mediac~1\epgspo~2.com
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.com
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.com
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.com
C:\Programme\Norton AntiVirus\navapsvc.com
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.com
C:\Programme\Norton AntiVirus\SAVScan.com
C:\WINDOWS\system32\svchost.com
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.com
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.com
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.com
C:\Programme\iPod\bin\iPodService.com
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.com
C:\WINDOWS\System32\alg.com
C:\WINDOWS\System32\svchost.com
C:\WINDOWS\system32\wscntfy.com
C:\Programme\Outlook Express\msimn.com
C:\Programme\Internet Explorer\IEXPLORE.com
C:\Programme\Browser Hijack Recover\bhr.com
C:\Programme\WinRAR\WinRAR.com
C:\DOKUME~1\Suse\LOKALE~1\Temp\Rar$EX00.250\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.com
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.com
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.com
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.com
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.com
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.com
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.com
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.com
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular sp&eichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - RoboForm-&Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular sp&eichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.com
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.com
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.com
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.com
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.com
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.com
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.com
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.com
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.com
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.com
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.com
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.com
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.com
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.com
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.com

senpl 23.01.2006 22:17
Hab ich noch irgendwas vergessen? oder doch falsch gemacht?

Dan ke!

dartus 23.01.2006 23:59
Hallo senpl,

aus Deinem Logfile ist nichts erkennbar, was auf Malwarebefall hinweist.

Lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Bitte erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

Dartus

foker 24.01.2006 00:05
mir kann keiner helfen das gibts ja nicht , das ist echt si lässtig diese werbe ordner !! :koch:

senpl 24.01.2006 10:41
Danke, das mach ich noch.

Ich hab gestern abend nochmal "l2mfix" laufen lassen nach Anweisung, hatte ich irgendwo bei Euch gelesen und MOMENTAN bin ich PopUp-frei.

Toi, Toi, Toi - mag sein, das wars.... :crazy:

Dennoch befolge ich Deine Ratschläge sehr gerne - DANKE! :bussi:
und poste später das Gefragte.

Gruss, Suse

senpl 24.01.2006 19:18
Tja, war wohl nix!

STARQUIZ kommt wieder.... :kloppen:

ESCAN läuft nun schon seit über 4 Stdn. - wieder was falsch?

Es hat bis jetzt auch einiges gefunden:

searchexe, clientman, whenu.savenow, tencent qq, cydoor.topicks a - leider ohne Pfadangabe, nur Dateisystem

und ein paar Viren, die in Temporary Internet Files waren, konnt ich löschen.

Leider konnte ich Clearprog vor Escan nicht zum Laufen bringen, hat sich immer aufgehängt.

Bericht folgt, wenns dann noch fertig wird, bevor ich schlafen geh..... - sonst morgen.

Danke erstmal, Suse

foker 24.01.2006 19:30
beim mit hat er einige trojaner gefunden aber bekomm irgendwie denn ordner mit mwavscan.com nicht damit ich sie löschen kann ?????? versteh ich nicht ???
hab locker 10 trojaner einige spyware und closelog.exe wo einige trojaner drin sind :koch:

senpl 24.01.2006 22:18
ESCAN hat jetzt 7 Stunden gedauert, das Ergebnis hier zu posten würde wohl den Rahmen sprengen.

Die vormals genannten blieben die Einzigen, wie finde ich die jetzt im System?
um sie dann zu löschen?

Danke, Suse

dartus 25.01.2006 00:24
Hallo senpl,

wende wie breits erwähnt "find.bat" an, um das Ergebnis zu posten.

dartus

P.S. Hallo Foker,

bleibe bitte in Deinem Thread und poste wie oben erwähnt das Scanergebnis.

senpl 25.01.2006 11:03
Na, dann muss ich nochmal ran, find.bat hab ich nicht - wohl wieder alles falsch gemacht.....!?! :dummguck:

Habe ESCAN auf deutsch laufen lassen, da ich mit Englisch nicht klarkomme........

Danke, Suse

foker 25.01.2006 17:05
ich habs auch nicht zusammen gebracht mit escan weil der escan schon entpackt ist und ich das autom. auf my downloads downloade !! bei mir erstellt er nicht denn angegebenen ornder mwavscan.com wo ich meine gefundenen viren manuall löschen kann !? was mach ich falsch???

senpl 25.01.2006 20:43
Leider kann ich ESCAN nicht auf Englisch starten!!!
Nach Eurer Anleitung also keine find.bat! - Mist!

Wie geht das???

Ich habs jetzt schon ein paarmal gelöscht und neu downgeloadet, ist aber immer deutsch!!!

Dann CCleaner aufräumen lassen und trotzdem: wieder DEUTSCH!

Wie??? krieg ich das denn jetzt hin, wenn ich das brauche um meine restlichen Besucher loszuwerden???


Danke, Suse

senpl 26.01.2006 16:21
Jetzt habe ich mal Spyware Doktor laufen lassen.

Mit diesem Ergebnis:


Suchergebnisse:
Suche starten: 26.01.2006 15:33:48
suche anhalten: 26.01.2006 15:53:55
durchsuchte Objekte: 117708
gefundene Objekte: 4
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Name der Infizierung Standort Risiko
Powerscan HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Power Scan Mittel
Powerscan HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Power Scan## Mittel
Powerscan HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Power Scan##Order Mittel
Advertising C:\Dokumente und Einstellungen\Suse\Cookies\suse@com[2].txt Niedrig

Ich denke, da sollte sich was machen lassen.....

Vielleicht kann mir jemand sagen, wie und wo ich diese HKCU finde?

Vielen Dank!

Suse

senpl 26.01.2006 23:32
voriges erledigt!

Nochmal ESCAN, leider auf D

Ergebnis:

Thu Jan 26 20:20:38 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Thu Jan 26 20:20:38 2006 => Loading Spyware Signatures from new External Database (Size: 152145).
Thu Jan 26 20:20:40 2006 => Indexed Spyware Databases Successfully Created...

Thu Jan 26 20:20:43 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.

Thu Jan 26 20:20:48 2006 => Offending file found: C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\temporary internet files\content.ie5\1tpivftq\formie[1].css
Thu Jan 26 20:20:48 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: Keine Aktion vorgenommen.

Thu Jan 26 20:20:49 2006 => Offending file found: C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\Temporary Internet Files\content.ie5\1tpivftq\formie[1].css
Thu Jan 26 20:20:49 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: Keine Aktion vorgenommen.

Thu Jan 26 20:20:50 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Thu Jan 26 20:20:50 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.

Ist das noch Grund zur Beunruhigung?
Falls ja, wie löschen - 2. +. 3. (C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\Temporary Internet Files\content.ie5\1tpivftq\formie[1].css) existiert nicht, jedenfalls nicht für mich zu sehen....

Danke, Suse

dartus 27.01.2006 00:40
Hallo senpl,

kein derzeitiger Grund zur Beunruhigung.

Lade Dir clearprog 1.4.1 final
und
z.B Regseeker .

Clearprog --> Alles Löschen und auf Löschen klicken
Bei Benutzung von "Regseeker"-> über Language auf Deutsch umstellen -> Option "Registrierung säubern" (achte darauf das unten Links das Häkchen bei "Sichern vor Löschen").

Benutze zum Surfen zukünftig einen sicheren Browser . desweitere sind
hier lesenswerte Links, insbesondere die „12 Punkte“.

dartus

senpl 27.01.2006 17:15
Danke für Eure Hilfe!

Die Nerverei hat ein Ende!!!! :daumenhoc

Allerdings kommt ab und zu noch ein PopUp, also ist irgendwo noch was,
aber halb so schlimm....

Mit einem PU alle 3 Stunden kann ich leben bis zur Formatierung, vielleicht im nächsten Monat.....

Also vielen Dank an alle Helfer! :bussi:

Gruss, Suse

foker 27.01.2006 19:34
hi dartus ! kann ich dannach alle einträge löschen wenn ich gesäubert hab ohne das mein system zusammen stürtzt ??? (mit reqseeker)

senpl 03.02.2006 12:19
Tja , leider bin ich doch wieder dabei mit diesen verfluchten PU's....

Es kommen immer dieselben wieder, soll eigentlich bedeuten irgendwo im System sitzt etwas, das die herkömmlichen Programme nicht finden können.

mit ESCAN habe ich leider immer noch dasselbe Problem, funzt bei mir nur auf deutsch, egal, was ich versuche - da bin ich wohl einfach zu blöd zu....

Aber es muss doch möglich sein, dieseen fiesen kleien ?Trojaner? zu liquidieren....?!? :snyper:


Hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:09:05, on 03.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Suse\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular sp&eichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - RoboForm-&Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular sp&eichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Vielen Dank für Eure Mühe!

Gruss, Suse

senpl 04.02.2006 21:26
Kann mir denn wirklich keiner helfen? :heulen:

Ich hab nochmal ESCAN laufen lassen, auf Englisch, weiß der Geier wie das ging?! - aber find.bat finde ich nicht.
Im LOG gab es diese zwei infected - aber wo sitzen die???

Sat Feb 04 17:47:43 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.


Sat Feb 04 17:48:05 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.

Ich möchte keine PU's mehr..........

Vielen Dank für Eure Mühe!

Gruss, Suse

dartus 05.02.2006 01:12
Hallo senpl,

diese beiden "Funde" kannst Du getröst vernachlässigen.

dartus

uws0500 05.02.2006 09:49
Versuchs mal auf meine art:
Alle scanner durchlaufen lassen:
SpyBot
Microsoft AntiSpyware
Und wenn du noch willst!!
avast 4 home


mfg
uws0500

PS: Ich könnte dir auch eine CD datei per E-mail schicken die du dann mit Nero auf eine Image CD brennst die boot fahig ist!!

senpl 05.02.2006 11:55
Vielen Dank erstmal!

@dartus, diese beiden sind aber die einzigen, die immer gefunden werden.

Also, dachte ich, sie seien für die PU's verantwortlich?!
Ist wohl nicht so?!

Iregendwo muß aber etwas sein!
Wenn ich den PC starte, dann rufe ich per Outlook meine Mails ab, danach starte ich den IE + Firefox - ich arbeite mit beiden.

Allerdings habe ich sofort im CookieOrdner Cookies von "winfixer" + "errorsafe" + "orexis" drin, ohne, dass ich überhaupt irgendwas gemacht habe und der blöde PC-Ventilator springt an......
Von irgendwo müssen diese Cookies für diePU's doch herkommen?!!!
Das gibts doch gar nicht, dass man die nicht finden kann und löschen kann....?!!!

Und ich habe erst im April Zeit für Formatieren, bis dahin drehe ich durch, wenn ich das "Biest" nicht zu fassen bekomme....... :schrei:

Vielleicht hast Du doch noch ne Idee.....???

@uws5000

Vielen Dank für Deine Ideen!

Leider finden diese Spy-Programme nix!
Die haben auch die von mir schon entfernten Bescuher nicht gefunden.
Das ging alles nur mit ewido, EScan, etc. - Programme, die man als normal
PC-Doofer gar nicht kennt und normalerweise nicht kennenlernt.....
Allerdings probier ich dann nochmal avast 4 home, das kenne ich nicht und habs auch noch nicht laufen lassen.
Die Idee mit der bootfähigen CD ist vielleicht ganz gut! Danke!
Meine EMail-Adresse: reni29@gmx.de



Vielleicht fällt Euch noch was ein?!

Schönen Sonntag noch!

Gruss, Suse

Wildone 05.02.2006 12:37
Hallo,
na gut, dann wird jetzt halt die Komlettdurchleuchtung gestartet.

Poste ein Log von Silentrunners

Mache folgendes und poste die vier Logfiles, aber nur die Dateien der letzten drei Monate abkopieren.

Scanne dein System mit F-Secure Blacklight und poste das Log (wird im selben Pfad nach dem scan erstellt fsbl***.txt)


Grüße Wildone

senpl 05.02.2006 23:12
Danke erstmal!

Leider bekomme ich bei silentrunners die NAV-Meldung böses Skript! und, wenn ich es manuell zulasse, bekomme ich die Meldung Der Computer wurde angehalten - geht also nicht....

Bei Deinem nächsten Vorschlag kommt leider, nach Anweisung gehandelt - keine ....bat sondern ...html

und Blacklight habe ich schon laufen lassen ohne Erfolg!

Sieht nach Aufgeben aus.......

Danke für deine Mühe!

Gruss, Suse

Wildone 05.02.2006 23:22
Hallo,
so schnell gebe ich nicht auf. :D
Bin zwar nicht so gut im lesen von Winpfind Logs, aber poste mal ein solches.
Zur Datfind.bat, hast du es per Rechtsklick "Ziel speichern unter" auf dem Desktop gespeichert? Falls das nicht funktioniert, mal mit der zip-Version versuchen.

Hast du es bei Silentrunners so (Punkt 7) gemacht?


Grüße Wildone

senpl 05.02.2006 23:49
@wildone

dies habe ich jetzt rausgeholt!


"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"RoboForm" = ""C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"" ["Siber Systems"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"ATIPTA" = "C:\ATI-CPanel\atiptaxx.exe" ["ATI Technologies, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PMCS" = "C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug" [null data]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"PMCRemote" = "C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" ["Pinnacle Systems"]
"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Advanced Tools Check" = "C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AlcWzrd" = "ALCWZRD.EXE" ["RealTek Semicoductor Corp."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"]
{724d43a9-0d85-11d4-9908-00400523e39a}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\roboform.dll" ["Siber Systems"]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Suse" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"hp psc 2000 Series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 2200 series#1107882462" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2200 series#1107882462"" [empty string]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 19


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\roboform.dll" ["Siber Systems"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\roboform.dll" ["Siber Systems"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\roboform.dll" ["Siber Systems"]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\ = "Shell Search Band" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]

{320AF880-6646-11D3-ABEE-C5DBF3571F46}\
"ButtonText" = "Ausfüllen"
"MenuText" = "RF - Formular ausf&üllen"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html" [file not found]

{320AF880-6646-11D3-ABEE-C5DBF3571F49}\
"ButtonText" = "Speichern"
"MenuText" = "RF - Formular sp&eichern"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html" [file not found]

{724D43AA-0D85-11D4-9908-00400523E39A}\
"ButtonText" = "RoboForm"
"MenuText" = "RF - RoboForm-&Leiste ein/aus"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html" [file not found]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MSSQL$PINNACLESYS, MSSQL$PINNACLESYS, "C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe -sPINNACLESYS" [MS]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton Unerase Protection, NProtectService, "C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE" ["Symantec Corporation"]
PC Tools Spyware Doctor, SDhelper, "C:\Programme\Spyware Doctor\sdhelp.exe" ["PC Tools Research Pty Ltd"]
Pinnacle Systems Media Service, PinnacleSys.MediaServer, "c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe" [null data]
Pinnacle Systems tvtv Spooler, EpgSpooler, "c:\progra~1\pinnacle\mediac~1\epgspo~2.exe" [null data]
SAVScan, SAVScan, ""C:\Programme\Norton AntiVirus\SAVScan.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
SymWMI Service, SymWSC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe"" ["Symantec Corporation"]
Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "Lkbdflt2" ["Logitech, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
hpzlnt07\Driver = "hpzlnt07.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 72 seconds, including 19 seconds for message boxes)


???????
Den Rest versuch ich wohl morgen....

Gute Nacht + Danke!

Gruss, Suse

Wildone 06.02.2006 00:04
Hallo,
scheint so als ob wir auf die anderen Logs hoffen müßten, ich kann im Silentrunners Log nichts verdächtiges finden. Kannst du noch mal beschreiben was das für Popups sind? Ev. sogar einen Screenshot davon machen?



Grüße Wildone

senpl 06.02.2006 00:08
Ich habs doch noch gemacht, läßt mir ja keine Ruhe...!!!

Ergebnis:

Datentr„ger in Laufwerk C: ist Suse
Volumeseriennummer: 443B-3C49

Verzeichnis von C:\WINDOWS\system32

05.02.2006 22:42 954.036 kspydoc.log
05.02.2006 22:42 0 Sweeper.cfg
23.01.2006 22:56 0 lo2.txtt
23.01.2006 00:16 1.158 wpa.dbl
23.01.2006 00:05 403.996 perfh009.dat
23.01.2006 00:05 62.872 perfc009.dat
23.01.2006 00:05 416.008 perfh007.dat
23.01.2006 00:05 74.172 perfc007.dat
23.01.2006 00:05 943.466 PerfStringBackup.INI
21.01.2006 17:53 20.486.782 CNNZXE
21.01.2006 16:03 0 8104297.jun
15.01.2006 00:29 240.736 FNTCACHE.DAT
14.01.2006 11:58 264 $winnt$.inf
14.01.2006 11:51 16.832 amcompat.tlb
14.01.2006 11:51 23.392 nscompat.tlb
14.01.2006 11:50 488 logonui.exe.manifest
14.01.2006 11:50 488 WindowsLogon.manifest
14.01.2006 11:50 749 sapi.cpl.manifest
14.01.2006 11:50 749 cdplayer.exe.manifest
14.01.2006 11:50 749 wuaucpl.cpl.manifest
14.01.2006 11:50 749 nwc.cpl.manifest
14.01.2006 11:50 749 ncpa.cpl.manifest
14.01.2006 11:49 23.604 emptyregdb.dat
14.01.2006 11:48 525 mapisvc.inf
14.01.2006 10:37 1.816 ModemLog_AVM ISDN Custom Config.txt
14.01.2006 10:37 1.834 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
14.01.2006 10:37 1.796 ModemLog_AVM ISDN BTX.txt
14.01.2006 10:37 1.816 ModemLog_AVM ISDN - ISDN (X.75).txt
14.01.2006 10:37 1.806 ModemLog_AVM ISDN FAX (G3).txt
14.01.2006 10:37 1.818 ModemLog_AVM ISDN Mailbox (X.75).txt
14.01.2006 10:37 1.846 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
14.01.2006 10:37 1.828 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
14.01.2006 10:37 1.838 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL


Verzeichnis von C:\DOKUME~1\Suse\LOKALE~1\Temp

05.02.2006 22:43 15.238 jusched.log
05.02.2006 22:42 16.384 Perflib_Perfdata_78c.dat
05.02.2006 16:37 2.048.000 Acr19.tmp
05.02.2006 12:41 0 Acr17.tmp
05.02.2006 12:41 179 Acr9.tmp
05.02.2006 12:41 426 AcrB.tmp
04.02.2006 21:29 9.668.079 MWAV.LOG
04.02.2006 20:29 1.264 mwXface.log
04.02.2006 17:40 241.664 MYDB.DLL
03.02.2006 17:26 12.795 avp.klb
03.02.2006 17:26 21.960 fa.avc
03.02.2006 17:26 44.916 unp027.avc
03.02.2006 17:26 34.357 gen004.avc
03.02.2006 17:26 2.875 daily-ex.avc
03.02.2006 17:26 44.369 base087.avc
03.02.2006 17:26 61.154 daily.avc
03.02.2006 17:26 49.456 base086.avc
03.02.2006 17:26 49.505 base085.avc
03.02.2006 17:26 49.116 base080.avc
03.02.2006 17:26 50.006 base069.avc
03.02.2006 17:26 50.107 base070.avc
03.02.2006 17:26 49.490 base077.avc
03.02.2006 17:26 1.757 avp.set
03.02.2006 17:26 7.994 base067.avc
03.02.2006 17:26 49.985 base068.avc
03.02.2006 13:04 378.944 mexe.com
03.02.2006 13:04 378.944 mwavscan.com
02.02.2006 15:50 7.904 java_install_reg.log
01.02.2006 18:55 117.982 File2.sdb
01.02.2006 18:55 131.884 Spyware.sdb
01.02.2006 18:55 152.313 spydb.old
01.02.2006 18:55 610.503 Cid.sdb
01.02.2006 18:55 388.444 Dir.sdb
01.02.2006 18:55 1.665.686 File1.sdb
01.02.2006 18:55 152.313 spydb.avs
01.02.2006 15:49 340.480 MWAVReg.EXE
01.02.2006 11:52 1.022 IMT2F.dtd
01.02.2006 11:52 2.794.308 IMT2E.xml
01.02.2006 11:51 797.676 IMT2D.xml
01.02.2006 11:51 426 IMT2C.xml
01.02.2006 11:51 2.036 IMT2B.xml
31.01.2006 21:34 599 mail_but_send.gif
31.01.2006 17:03 123 r2h1AD.tmp
31.01.2006 17:03 0 h2r1AE.tmp
31.01.2006 17:03 0 h2r1AB.tmp
31.01.2006 17:03 123 r2h1AA.tmp
31.01.2006 17:02 0 h2r19E.tmp
31.01.2006 17:02 136 r2h19D.tmp
31.01.2006 12:59 5.670 $$$1A.html
31.01.2006 10:38 16.384 Perflib_Perfdata_7a8.dat
31.01.2006 02:24 104 DFC5A2B2.TMP
30.01.2006 16:04 2.865.344 MSWEF.tmp
30.01.2006 16:00 2.865.344 MSWE2.tmp
28.01.2006 12:13 57.571 unp031.avc
28.01.2006 12:13 50.795 unp001.avc
28.01.2006 12:13 10.073 ext006.avc
28.01.2006 12:13 70.277 ca.avc
28.01.2006 12:13 49.898 base084.avc
28.01.2006 12:13 49.887 base082.avc
28.01.2006 12:13 49.833 base083.avc
27.01.2006 15:14 70.930 unp016.avc
27.01.2006 15:14 101.713 troj005.avc
27.01.2006 15:14 50.834 troj014.avc
27.01.2006 15:14 32.771 krnexe.avc
26.01.2006 22:03 210.874 fla1D3B.tmp
26.01.2006 14:56 16.384 Perflib_Perfdata_784.dat
24.01.2006 13:58 61.965 unp014.avc
22.01.2006 17:48 50.019 base071.avc
22.01.2006 13:10 92.007 krnunp.avc
22.01.2006 13:10 92.569 krnmacro.avc
22.01.2006 13:10 19.326 ext999.avc
22.01.2006 13:10 50.048 base075.avc
22.01.2006 13:10 49.831 base076.avc
21.01.2006 18:36 339.968 esupdate.exe
21.01.2006 17:59 122.880 msvlclnt.dll
21.01.2006 17:57 42.048 Getvlist.exe
19.01.2006 18:16 83.901 virus016.avc
19.01.2006 18:16 51.739 worm003.avc
19.01.2006 18:16 49.083 ext001.avc
19.01.2006 18:16 50.479 base078.avc
19.01.2006 18:16 49.895 base074.avc
19.01.2006 18:16 50.124 base073.avc
19.01.2006 18:16 50.070 base072.avc
18.01.2006 18:30 58.126 German.Age
18.01.2006 18:03 10.769 unp000.avc
18.01.2006 18:03 57.806 unp013.avc
18.01.2006 11:43 6.025 Polish.dow
18.01.2006 11:36 48.155 Polish.Age
17.01.2006 12:32 4.145 Chinese.dow
17.01.2006 12:32 5.392 Finnish.dow
17.01.2006 12:32 5.854 French.dow
17.01.2006 12:32 5.852 Spanish.dow
17.01.2006 12:32 5.839 Spanishl.dow
17.01.2006 12:32 5.457 Romanian.dow
17.01.2006 12:32 5.796 Portuguese.dow
17.01.2006 12:32 5.479 Italian.dow
17.01.2006 12:32 5.609 German.dow
17.01.2006 11:16 491.520 Download.exe
17.01.2006 11:07 5.194 English.dow
17.01.2006 11:07 5.194 Download.lan
16.01.2006 17:55 49.649 unp029.avc
16.01.2006 17:55 55.162 unp030.avc
16.01.2006 17:55 49.621 unp028.avc
16.01.2006 17:55 50.640 unp026.avc
16.01.2006 17:55 48.234 unp025.avc
13.01.2006 16:33 13.830 German.con
13.01.2006 15:37 48.142 Spanishl.Age
13.01.2006 15:35 48.403 Spanish.Age
13.01.2006 14:09 42.376 language.ini
13.01.2006 14:09 42.376 English.Age
12.01.2006 00:36 73.425 unp002.avc
11.01.2006 17:21 49.892 ext005.avc
05.01.2006 15:12 98.816 MWAVL.exe
03.01.2006 13:12 47.527 Portuguese.Age
03.01.2006 01:38 2.711 mwav.ini
02.01.2006 14:48 7.850 Chinese.con
02.01.2006 14:48 10.559 Finnish.con
02.01.2006 14:48 11.729 Polish.con
02.01.2006 14:48 11.462 French.con
02.01.2006 14:48 10.866 Spanish.con
02.01.2006 14:48 10.884 Spanishl.con
02.01.2006 14:48 10.528 Romanian.con
02.01.2006 14:48 11.380 Portuguese.con
02.01.2006 14:48 10.015 Italian.con
01.01.2006 18:51 10.181 English.con
01.01.2006 18:51 10.181 config.lan
01.01.2006 17:40 77.379 virus012.avc
01.01.2006 17:40 61.884 unp005.avc
01.01.2006 17:40 54.541 unp003.avc
01.01.2006 17:40 56.594 troj022.avc
01.01.2006 17:40 50.197 troj020.avc
01.01.2006 17:40 14.254 mail.avc
01.01.2006 17:40 6.313 smart.avc
01.01.2006 17:40 50.875 krnexe32.avc
01.01.2006 17:40 48.017 ext003.avc
01.01.2006 17:40 47.828 ext004.avc
01.01.2006 17:40 50.680 base081.avc
01.01.2006 17:40 50.160 base079.avc
01.01.2006 17:40 49.303 base005.avc
29.12.2005 20:02 1.008 000E11D4.key
29.12.2005 20:02 1.028 000E11D5.key
26.12.2005 17:11 27.111 unp004.avc
26.12.2005 17:11 48.048 ext002.avc
23.12.2005 17:55 36.112 Chinese.Age
23.12.2005 17:55 45.078 Finnish.Age
23.12.2005 17:55 47.920 French.Age
23.12.2005 17:55 44.019 Romanian.Age
23.12.2005 17:55 55.627 Italian.Age
20.12.2005 18:02 78.450 virus011.avc
18.12.2005 06:01 363.520 viewtcp.exe
18.12.2005 05:54 1.694 ViewTcp.lan
18.12.2005 05:54 1.694 English.tcp
17.12.2005 13:55 99.916 troj009.avc
12.12.2005 15:41 48.372 base006.avc
12.12.2005 15:41 63.298 base007.avc
09.12.2005 13:42 80.084 unp019.avc
07.12.2005 18:23 50.388 troj016.avc
07.12.2005 16:39 51.435 troj025.avc
06.12.2005 14:30 36.526 virus020.avc
05.12.2005 11:35 100.027 troj007.avc
04.12.2005 14:53 1.737 German.tcp
01.12.2005 14:45 1.841 Polish.tcp
25.11.2005 17:29 1.718 Spanish.tcp
25.11.2005 17:29 1.718 Spanishl.tcp
25.11.2005 17:25 1.895 Portuguese.tcp
25.11.2005 17:24 1.718 Italian.tcp
25.11.2005 17:23 1.886 French.tcp
25.11.2005 17:19 1.750 Finnish.tcp
23.11.2005 22:25 37.093 unp012.avc
18.11.2005 19:32 29.097 unp021.avc
18.11.2005 19:32 44.623 unp018.avc
18.11.2005 19:32 28.752 krnengn.avc
18.11.2005 19:32 14.008 kernel.avc
18.11.2005 12:01 7.187 Polish.lic
17.11.2005 13:10 62.198 unp015.avc
10.11.2005 15:11 81.196 unp007.avc
10.11.2005 15:11 34.528 unp024.avc
10.11.2005 15:11 56.430 unp006.avc
07.11.2005 16:36 73.725 virus003.avc
07.11.2005 16:36 109.301 troj003.avc
02.11.2005 13:21 113.508 krn001.avc


Verzeichnis von C:\WINDOWS

05.02.2006 23:55 24 pvcqN
05.02.2006 23:04 1.876 wincmd.ini
05.02.2006 22:43 0 0.log
05.02.2006 22:43 159 wiadebug.log
05.02.2006 22:42 50 wiaservc.log
05.02.2006 22:42 2.048 bootstat.dat
05.02.2006 18:51 1.152.324 WindowsUpdate.log
05.02.2006 18:51 32.638 SchedLgU.Txt
04.02.2006 17:40 26 Lic.xxx
26.01.2006 23:00 536.231.936 MEMORY.DMP
25.01.2006 22:09 3.659 setupapi.log
23.01.2006 14:39 811 win.ini
14.01.2006 11:51 316.640 WMSysPr9.prx
14.01.2006 11:51 4.161 ODBCINST.INI
14.01.2006 11:50 749 WindowsShell.Manifest
14.01.2006 11:01 227 system.ini
31.12.2005 00:13 202 NeroDigital.ini
25.11.2005 14:27 1.894.167 setupapi.old




Das vierte log war zuviel für diese Antwort.

Und nun???

Ich hoffe, Du findest den Bösewicht.....!?!

Endgültig Gute Nacht!

Suse

Wildone 06.02.2006 00:21
Hallo,
Leider kann ich nichts bisher nichts finden. Kopiere von dem vierten Log (C:\sys.txt) einfach mal die ersten 50 Einträge ab und poste sie. Und dann beschreibe nochmal das Popup, oder mache einen Screenshot, werde dann morgen weiter suchen.


Grüße Wildone

senpl 06.02.2006 10:52
Okay, hier der erste Teil vom 4. log


Verzeichnis von C:\

05.02.2006 23:55 0 sys.txt
05.02.2006 23:55 5.442 system.txt
05.02.2006 23:54 13.695 systemtemp.txt
05.02.2006 23:53 100.360 system32.txt
05.02.2006 22:43 92 pmcs.txt
05.02.2006 22:43 101 recorder.txt
05.02.2006 22:43 73.889 checkrun.txt
05.02.2006 22:42 536.203.264 hiberfil.sys
05.02.2006 22:42 804.200.448 pagefile.sys
05.02.2006 12:54 488 hpfr5550.xml
04.02.2006 20:11 0 23990098.$$$
04.02.2006 20:11 6 AVPCallback.log
31.01.2006 12:35 8.192 VolumeC.txt
23.01.2006 23:09 29 direct.txt
14.01.2006 11:47 211 boot.ini
17.12.2005 11:59 3.602 NETRKDB.DAT
17.12.2005 11:59 42 ST53.IDX
17.12.2005 11:59 42 ST57.IDX
17.12.2005 11:59 72 ST54.IDX
17.12.2005 11:59 52 ST50.IDX
17.12.2005 11:59 42 ST41.IDX
17.12.2005 11:59 42 CT49.IDX
17.12.2005 11:59 72 ST4C.IDX
17.12.2005 11:59 2.210 NECDB.DAT
17.12.2005 11:59 172 SA45.IDX
17.12.2005 11:59 2.056 TDBIDXL.DAT
17.12.2005 11:59 42 ST45.IDX
17.12.2005 11:59 38 CH18.IDX
17.12.2005 11:59 3.080 CDBIDXL.DAT
17.12.2005 11:59 42 CA45.IDX
17.12.2005 11:59 32 SAFE.IDX
17.12.2005 11:59 32 STFF.IDX
17.12.2005 11:59 32 STFE.IDX
17.12.2005 11:59 32 SAFC.IDX
17.12.2005 11:59 32 SAFD.IDX
17.12.2005 11:59 32 SAFF.IDX
17.12.2005 11:59 32 STFB.IDX
17.12.2005 11:59 32 STFC.IDX
17.12.2005 11:59 32 STFD.IDX
17.12.2005 11:59 32 SAUC.IDX
17.12.2005 11:59 32 STUC.IDX
17.12.2005 11:59 32 STF9.IDX
17.12.2005 11:59 32 STF8.IDX

Das ist wie verhext.........:teufel1:

Danke, Suse

Wildone 06.02.2006 11:45
Hallo,
hmm auch nichts. Beantworte mal die Frage:

Zitat:
Und dann beschreibe nochmal das Popup, oder mache einen Screenshot, werde dann morgen weiter suchen.
Für einen Screenshot gehst du auf "druck" dann in ein beliebiges Bildbearbeitungsprogramm, dort bearbeiten>>Einfügen dann "Speichern unter" popup.jpg eingeben. Hier hochladen und den Link dann posten.


Grüße Wildone

senpl 06.02.2006 12:10
Danke!

Ich bin wahrscheinlich zu blöd, aber ich krieg so ein Screenshot so nicht hin.
In meinem Bildbearbeitungsprogramm ist einfügen nicht anklickbar und drucken, tja da kommt das Bild vom Drucker und wartet auf Befehle.

Die PopUp's sind entweder von winfixer / errorsafe die wollen mir weismachen, mein PC sei gefährdet und ich soll das angebotene Programm runterladen.
Dann kommt noch was von orexis-Steigerung der Manneskraft / firstload - das ist aber "nur" Werbung.

Es lässt sich nix kopieren, auch nicht von den Eigenschaften,
bei orexis steht z. B erstellt am 02.06.2006 - ???

Ich kontrollier halt alle 30 min. die Cookies und lösche sie, damit ich Ruhe habe.....

Ich hab die Cookies mal gespeichert, hilft es, wenn ich den Editor hochlade?

Danke für Deine Beharrlichkeit - ich geb wirklich so langsam auf.....

Gruss, Suse

Wildone 06.02.2006 12:18
Hallo,
Zitat:
Danke für Deine Beharrlichkeit - ich geb wirklich so langsam auf.....
Langsam bin ich selbst kurz davor, obwohl es mich mehr als brennend interessieren würde woher die Popups kommen.
Mache mal folgendes, besorge dir TCPView und poste das Log (über File>>Save).

Außerdem besorgst du dir folgendes Tool, entpackst es in einen eigenen Ordner, läßt es nur mit der Option "1" laufen, und postest das Logfile das erscheinen sollte.



Grüße Wildone

senpl 06.02.2006 13:12
Okay!



hier TCPViewfile.log:

<non-existent>:1884 UDP name-d85de2acc5:1031 *:*
<non-existent>:3440 UDP name-d85de2acc5:3415 *:*
alg.exe:3636 TCP name-d85de2acc5:1034 name-d85de2acc5:0 LISTENING
CCAPP.EXE:136 TCP name-d85de2acc5:1027 name-d85de2acc5:0 LISTENING
IEXPLORE.EXE:3196 UDP name-d85de2acc5:3555 *:*
IEXPLORE.EXE:4048 UDP name-d85de2acc5:1086 *:*
jucheck.exe:292 TCP name-d85de2acc5:1035 72.5.124.55:http CLOSE_WAIT
jucheck.exe:292 TCP name-d85de2acc5:1037 a195-113-150-7.deploy.akamaitechnologies.com:http CLOSE_WAIT
lsass.exe:700 UDP name-d85de2acc5:isakmp *:*
lsass.exe:700 UDP name-d85de2acc5:4500 *:*
msimn.exe:3348 UDP name-d85de2acc5:1063 *:*
PMC.Service.Main.exe:1932 TCP name-d85de2acc5:1039 name-d85de2acc5:0 LISTENING
PMSHost.exe:2548 TCP name-d85de2acc5:26000 name-d85de2acc5:0 LISTENING
svchost.exe:1008 UDP name-d85de2acc5:ntp *:*
svchost.exe:1008 UDP name-d85de2acc5:1045 *:*
svchost.exe:1008 UDP name-d85de2acc5:ntp *:*
svchost.exe:1060 UDP name-d85de2acc5:1151 *:*
svchost.exe:1060 UDP name-d85de2acc5:1089 *:*
svchost.exe:1060 UDP name-d85de2acc5:1148 *:*
svchost.exe:1060 UDP name-d85de2acc5:1150 *:*
svchost.exe:1060 UDP name-d85de2acc5:1090 *:*
svchost.exe:1060 UDP name-d85de2acc5:1032 *:*
svchost.exe:1060 UDP name-d85de2acc5:1146 *:*
svchost.exe:1060 UDP name-d85de2acc5:1149 *:*
svchost.exe:1060 UDP name-d85de2acc5:1147 *:*
svchost.exe:1232 TCP name-d85de2acc5:2869 name-d85de2acc5:0 LISTENING
svchost.exe:1232 TCP name-d85de2acc5:2869 fritz.fon.box:2272 CLOSE_WAIT
svchost.exe:1232 UDP name-d85de2acc5:1900 *:*
svchost.exe:1232 UDP name-d85de2acc5:1900 *:*
svchost.exe:940 TCP name-d85de2acc5:epmap name-d85de2acc5:0 LISTENING
System:4 TCP name-d85de2acc5:microsoft-ds name-d85de2acc5:0 LISTENING
System:4 TCP name-d85de2acc5:netbios-ssn name-d85de2acc5:0 LISTENING
System:4 TCP name-d85de2acc5:2869 fritz.fon.box:2282 CLOSE_WAIT
System:4 TCP name-d85de2acc5:2869 fritz.fon.box:2274 CLOSE_WAIT
System:4 TCP name-d85de2acc5:2869 fritz.fon.box:2280 CLOSE_WAIT
System:4 TCP name-d85de2acc5:2869 fritz.fon.box:2278 CLOSE_WAIT
System:4 TCP name-d85de2acc5:2869 fritz.fon.box:2276 CLOSE_WAIT
System:4 UDP name-d85de2acc5:microsoft-ds *:*
System:4 UDP name-d85de2acc5:netbios-ns *:*
System:4 UDP name-d85de2acc5:netbios-dgm *:*

Das andere kommt gleich....

Suse

senpl 06.02.2006 13:16
So, hier L2M


L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}"="iTunes"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"="Webroot Spy Sweeper Context Menu Integration"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
browseui.dll Thu 24 Nov 2005 0:58:28 A.... 1.022.464 998,50 K
gccoll~1.dll Tue 15 Nov 2005 12:12:08 A.... 126.680 123,71 K
gcunco~1.dll Tue 15 Nov 2005 12:12:06 A.... 95.448 93,21 K
gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K
hashlib.dll Tue 15 Nov 2005 12:12:08 A.... 117.976 115,21 K
mshtml.dll Thu 24 Nov 2005 0:58:28 A.... 3.013.632 2,87 M
s32evnt1.dll Tue 3 Jan 2006 15:31:44 A.... 91.904 89,75 K
shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M

8 items found: 8 files, 0 directories.
Total of file sizes: 6.240.648 bytes 5,95 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist Suse
Volumeseriennummer: 443B-3C49

Verzeichnis von C:\WINDOWS\System32

15.01.2006 00:29 <DIR> dllcache
14.12.2004 21:08 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 86.363.459.584 Bytes frei


Das hat aber früher auch nix gefunden.... :heulen:

Danke!

Gruss, Suse

Wildone 06.02.2006 13:33
Hallo,
So jetzt sind wir soweit, ich bin mit meinem Latein am Ende. Letzter Rat meinerseits wäre mal ein scan mit Ewido und ein Onlinescan mit Panda. Poste mal ob etwas gefunden wird.

Sag mal wie vertrauenswürdig ist eigentlich dieses Programm Siber Systems? Kann das zeitlich mit deinen Popups zusammenhängen?


Grüße Wildone

senpl 06.02.2006 13:57
ewido hat auch nix gefunden, bzw. was ewido gefunden hatte, hab ich schon gekillt.
Panda probier ich dann später nochmal.

Siber ist Roboform, das brauch ich zum schnellen Ausfüllen von Formularen,
ich halte das für vertrauenswürdig, zumal ich es ja gekauft habe.
Hältst Du das für möglich, dass die dieses Programm verkaufen und als kostenlose Dreingabe WerbePU's schenken? :(

Ich kann das zeitlich gar nicht mehr zurückverfolgen, wann das anfing mit den PU's.
Als sie minütlich kamen, hat's mich dann so genervt, dass ich bei Euch um Hilfe gefragt habe. Aber die habe ich mit Eurer Hilfe alle entfernen können, da waren ja so 4,5 Besucher.


KOMISCHE SACHE! :confused:

Naja, ich werde dann im April, spätestens Mai mal formatieren lassen und wenn wir nix mehr finden, muss ich halt mit PU's leben.
Ich denk, die tun nix, nerven aber eben manchmal........

Vielen Dank für Deine Mühe, Geduld und Tipps!

Gruss, Suse

Wildone 06.02.2006 14:04
Hallo,
habe mich auch mal nach Siber per google erkundigt, scheint seriös zu sein.
Versuche das mal noch mit Panda.
Schau vielleicht noch mal heute abend oder morgen in den Thread, ich setze vielleicht noch jemanden drauf an, vielleicht habe ich ja etwas übersehen.


Grüße Wildone

senpl 06.02.2006 17:48
Ereignis Zustand Standort

Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\Suse\Cookies\suse@adtech[2].txt
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Suse\Cookies\suse@as1.falkag[1].txt
Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[PSP7.0crk.EXE]
Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[ANIM3.0crk.EXE]
Mögliches Virus. Nicht desinfiziert C:\Originale\Zealot.AVI.to.VCD.SVCD.DVD.Converter.v1.0.5.Incl.KeyGen-ORiO.rar[Keygen-AVItoVCDSVCDDVDConverter.exe]
Spyware:Cookie/WinFixer Nicht desinfiziert C:\PopUp's Hilfe\cookies\suse@winfixer[2].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\PopUp's Hilfe\L2M\l2mfix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\PopUp's Hilfe\L2M\l2mfix.exe[Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\Process.exe


Das ist jetzt von PANDA, dabei ist nur das letzte interessant - so, wie ich das sehe.
Den cookieOrdner hatte ich ja erstellt, falls der TextEditor was bringen könnte.
RealPlayer- keine Ahnung, ist auf dem PC für Musik.
Zealot ist ne ZIP-Datei, brauch ich nicht, kann ich ja mal löschen.....

Siehst Du noch was?

Danke!

Gruss, Suse

Haui45 06.02.2006 17:52
Hallo,

poste bitte mal das WinPFind-Log, das Wildone sehen wollte.

Bzgl. eines Screenshots:
Sobald ein PopUp erscheint, solltest du diese Taste drücken http://147.238.144.82/umw/ADL%20Tuto...creen%202x.jpg
-> Start-> Asführen-> mspaint -> [Eingabetaste] -> [Strg + V] -> Datei -> Speichern unter...-> Abspeichern, bei Imagehack hochladen und den Link posten.

Lade und installiere eine Demo-Version des Security Task Managers -> Starte ihn und warte bis er die Prozesse analysiert hat-> File-> Save as... (o.ä. weiß ich nicht mehr so genau)-> Als Log.txt abspeicheern und posten.

Überprüfe diese Dateien auf http://www.virustotal.com und poste das Ergebnis:
Zitat:
C:\WINDOWS\system32\lo2.txtt
C:\WINDOWS\system32\CNNZXE
C:\WINDOWS\system32\8104297.jun
C:\WINDOWS\pvcqN

*EDIT*
Zitat:
Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[PSP7.0crk.EXE]
Hacktool:HackTool/OptixPatch Nicht desinfiziert C:\Originale\Real Player 8 plus deutsch\paintshop.zip[ANIM3.0crk.EXE]
Mögliches Virus. Nicht desinfiziert C:\Originale\Zealot.AVI.to.VCD.SVCD.DVD.Converter. v1.0.5.Incl.KeyGen-ORiO.rar[Keygen-AVItoVCDSVCDDVDConverter.exe]
Wenn du Software aus unseriösen Quellen verwendest, musst du dich gar nicht wundern wenn du dir etwas einfängst :rolleyes:
Tja, mir vergeht da ganz ehrlich die Lust zu helfen...

Wildone 06.02.2006 17:56
Hallo,
ich denke das die Process.exe zu l2mfix gehört, insofern wird sie auch nicht verantwortlich sein, und der Rest scheint auch mehr oder weniger harmlos zu sein.
Also auch ergebnislos, vielleicht findet ja jemand anderes noch etwas.

Grüße Wildone

MightyMarc 06.02.2006 18:05
Optix.....hmmmm war da nicht ein Backdoor gleichen Names?

BataAlexander 06.02.2006 18:09
Hallo,

@Haui: Daher habe ich mir einen Post gespart.

Gruß

Schrulli

Haui45 06.02.2006 18:12
@MightyMarc
Jepp, Lieblingsspielzeug aller ScriptKiddies.

@Schrulli
Mein Posting war leider schon fertig...

Wildone 06.02.2006 18:21
Hallo,
naja wenn man die Linie aber konsequent fährt darf man bei 2/3 aller Threads nicht helfen. Denn look2me, vundo.b und alle smitfraudvarianten holt man sich quasi ausschließlich über cracks bzw. auf den Seiten die selbige anbieten.


Grüße Wildone

senpl 06.02.2006 18:24
Vielen Dank!

Dieses zealot war eine niemals entpackte ZIP-Datei, von der ein Freund meinte, ich bräuchte sie.
Leider ist man auf andere angewiesen, wenn man selbst nicht viel Ahnung hat.
Ich habe sie mittlerweile gelöscht, da sie aber nie in Funktion war, kann sie der Fehler nicht sein.

WinPfind hat sich leider nur aufgehängt, und Screenshot geht irgendwie nicht oder ich bin zu doof.

Sorry, aber wenn Ihr mir nicht helfen wollt, müßt Ihr das natürlich auch nicht!

Vielen Dank trotzdem!

Gruss, Suse

PS: ScriptKiddy bin ich sicher nicht, nur einfach ahnungslos und offensichtlich zu vertrauensselig.

senpl 06.02.2006 18:26
@wildone

Danke!

Haui45 06.02.2006 18:33
Zitat:
Zitat von Wildone
Denn look2me, vundo.b und alle smitfraudvarianten holt man sich quasi ausschließlich über cracks bzw. auf den Seiten die selbige anbieten.
Auf Crack-Seiten kann man sich selbstverständlich die schönsten Infektionen einfangen, aber die o.g. stammen wohl aus einem Filesharingnetzwerk. Es gibt ja auch Leute, die sich einfach nur das lästige CD-Wechseln sparen wollen, wofür ich ehrlich gesagt durchaus Verständnis habe...

Zitat:
Zitat von senpl
WinPfind hat sich leider nur aufgehängt,
Möglich, aber unwahrscheinlich. Es mag zwar den Anschein haben, aber das Programm läuft weiter und braucht einfach nur Zeit.


Zitat:
PS: ScriptKiddy bin ich sicher nicht, nur einfach ahnungslos und offensichtlich zu vertrauensselig.
Das ist mir schon klar ;)

senpl 07.02.2006 12:04
Hallo!

Hier die Ergebnisse von virustotal:


C:\WINDOWS\pvcqN

No Virus found

--------------------

C:\WINDOWS\system32\8104297.jun

File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.

--------------------------

C:\WINDOWS\system32\CNNZXE

hängt sich auf beim Scannen

---------------------------------

C:\WINDOWS\system32\lo2.txtt

File size can't be more than 10 Megabytes.
You can't try compressing it.

Thanks you.


Screenshots lassen sich nicht erstellen von den PU's, ich bekomms auch mit der Anleitung nicht hin!

WinPFind log ist riesig, ich versuchs in einer neuen Antwort zu posten, aber ich befürchte fast, es wird zu gross sein....

Danke, Suse

senpl 07.02.2006 12:11
Wie befürchtet, ist die WinPfind log viel zu groß!

Wenn mir jemand sagt, was das Wichtigste ist, könnte ich das rauskopieren.

Mir ist etwas aufgefallen beim Taskmanager. Wenn die Prozesse starten, kommt einer "OPSCAN.exe", fährt mit hoch und ist später weg! - Hat das was zu sagen?

Ansonsten alles beim Alten!
winfixer, errorsafe, orexis und ...load - sind immer dieselben.....

Danke!

Gruss, Suse

Sabina 07.02.2006 12:52
es koennte das hier sein:

C:\WINDOWS\pvcqN
http://virus-protect.org/artikel/spyware/apropos1.html

f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
poste den Scanreport (wenn das Log zu gross ist, poste es als Anhang)

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.

Wildone 07.02.2006 13:07
Hallo,
da du dich nicht durch den ganzen Thread durchgelesen hast (kannst), Blacklight hat nichts gefunden, siehe Posting #30 außerdem gescannt mit Rootkit Hook Analyzer, siehe Posting #1, ebenfalls ergebnislos. Ob es denoch Apropos sein kann mußt du entscheiden, habe davon nicht soviel Ahnung.



Grüße Wildone

Sabina 07.02.2006 13:09
Alles, wirklich alles durchgelesen... hm :kloppen:

ich habe nur gesehen...........
C:\WINDOWS\pvcqN
C:\WINDOWS\system32\CNNZXE

Der User kann das Winpfind-log auch als Anhang posten...dann sind wir schlauer .

senpl 07.02.2006 15:02
Hallo! + Vielen Dank!

Hier das aprosposfix.log:

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos-fix\aproposfix

************

Warning: batch running in normal mode, not Safe Mode! In normal mode the fix WILL NOT WORK!

Warning: C:\WINDOWS\regedit.com present!

Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!



Die WinPfind. log - Datei ist auch zum Anhängen zu groß!
Ich hab sie in Word gespeichert, weil sie nicht als.log erschien, so wie ich es kenne. Aber nachdem das 3 Stunden gelaufen ist, wollte ich die Daten retten, ging irgendwie nicht anders..... - könnte sie als EMail schicken?


Danke, Suse

Wildone 07.02.2006 15:06
Hallo,
Vorschlag wäre das Log bei Rapidshare hochzuladen und den Link zu posten.


Grüße Wildone

senpl 07.02.2006 18:37
Danke!

Gute Idee! Hab ich gemacht!

http://rapidshare.de/files/12755990/RNING.doc.html


Gruss, Suse

Sabina 08.02.2006 00:07
vielleicht stelle ich mich nur zu doof an (kann auch vorkommen) ;)
http://rapidshare.de/files/12755990/RNING.doc.html

aber ich sehe die doc nicht......................

Haui45 08.02.2006 00:09
Auf "Free" klicken → Code eingeben → Enter ;)

Wildone 08.02.2006 00:11
Hallo,
klicke auf free, gib den Code ein, und dann sollte der Download starten.

Edit
zu langsam, Tach Haui :party:
Grüße Wildone

Sabina 08.02.2006 00:19
Code ?? 12755990 ? Je...nun weiss ich, wie man sich fuehlt, wenn man nicht zurechtkommt (gute lektion):kloppen:

Haui45 08.02.2006 00:25
Ist das dein Ernst?
Zitat:
Kein Premium-User. Bitte *Platzhalter für Bildchen* hier eingeben:
Ist wohl eingebaut um zu garantieren, dass die Dateien nicht durch Bots heruntergeladen werden...

Wildone 08.02.2006 00:29
Hallo,

http://img71.imageshack.us/img71/3836/unbenannt1mc.jpg

jetzt klarer?


Grüße Wildone

Sabina 08.02.2006 00:41
Zitat:
Checking %WinDir% folder...
UPX! 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
FSG! 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
PEC2 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
qoologic 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
aspack 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
SAHAgent 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
KavSvc 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
abetterinternet.com 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP
ad-w-a-r-e.com 26.01.2006 23:00:26 536231936 C:\WINDOWS\MEMORY.DMP

Checking %System% folder...
PEC2 21.01.2006 17:53:48 20486782 C:\WINDOWS\SYSTEM32\CNNZXE
PEC2 04.08.2004 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 04.11.2005 16:27:24 534280 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
UPX! 13.01.2005 21:41:48 11254 C:\WINDOWS\SYSTEM32\locate.com
PECompact2 04.01.2006 19:46:40 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.01.2006 19:46:40 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 13:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 13:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 20.01.2005 13:47:50 175616 C:\WINDOWS\SYSTEM32\strings.exe
winsync 04.08.2004 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

C:\WINDOWS\Temp\CS00180D84-3958-4A7F-BA7D-B5DE6F4F202C.tmp
C:\WINDOWS\Temp\CS0482BC11-6DFD-4C57-AD4E-6B4936B957D4.tmp

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\SYSTEM32\CNNZXE
C:\WINDOWS\pvcqN
C:\WINDOWS\MEMORY.DMP

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

C:\WINDOWS\Temp --> leere diesen Ordner

C:\WINDOWS\Temp\CS00180D84-3958-4A7F-BA7D-B5DE6F4F202C.tmp
C:\WINDOWS\Temp\CS0482BC11-6DFD-4C57-AD4E-6B4936B957D4.tmp
C:\WINDOWS\Temp\CS05D0C1F7-20E6-4279-890E-1692808F625C.tmp
usw...usw....

dann berichte ;)

senpl 08.02.2006 11:14
Hallo!

Danke, dass Ihr Euch so reinhängt!!!!!

Hier folgt der Bericht:

Ich habe all diese Dinge jetzt getan, allerdings ist in KillBox nix zum Löschen?, ich hatte den TempOrdner vorher gelöscht - hängt vielleicht damit zusammen?, bzw. MEMORY.DMP läßt sich nicht öffnen, will öffnen mit.... -
keine Ahnung mit was?


Allerdings habe ich gestern - das mach ich aus lauter Verzweiflung immermal zwischendurch - nochmal Kaspersky laufen lassen, und diesmal! (von ca. 100 Durchläufen) hat er zum ersten Mal etwas gefunden - einen Virus.
Ich den also flugs gesichtet und gelöscht.

Trotzalledem bekomm ich seit gestern ein PU, schwarzes Bild, WARNING!, es fordert mich auf, den PC zu scannen - ich glaube, wenn man dort auf den Button klickt, ist man verloren.......

Zumindest das weiss ich.....!, zum Glück!

Mir ist nur wirklich nicht klar, wo diese Dinger herkommen, ich gehe nicht auf Chat-/Porno-/Hacker-/Filesharing- etc. Seiten, ich bewege mich ganz normal bei Yahoo, Ebay, Amazon, usw. - also (für mich) ganz normale Seiten?!

Vielen, vielen Dank für Eure Mühe + Hilfe + Geduld! :daumenhoc

Ich bin wirklich froh Euch gefunden zu haben, ich habe viel gelernt und die meisten Besucher bin ich auch los - dank Euch!

Gruss, Suse


PS: gerade Besuch gehabt: nach wie vor Warning! - errorsafe - winfixer - firstload, das ist doch nicht normal!!!???

Wildone 08.02.2006 12:23
Hallo,
*stöhn* du läßt dir mal wieder einiges aus der Nase ziehen.

Zitat:
Ich habe all diese Dinge jetzt getan, allerdings ist in KillBox nix zum Löschen?
Der Satz ist mir nicht ganz klar, meinst du du konntest keine der Dateien/ordner mit Killbox löschen, oder das nach dem löschen nichts im Ordner C:\!KillBox war?

Zitat:
MEMORY.DMP läßt sich nicht öffnen, will öffnen mit.... -
Soweit ich weiß läßt sich eine *.dmp Datei mit einem Debugger öffnen, weiß aber auch nichts weiteres. Aber eigentlich solltest du sie ja auch nicht öffnen sondern löschen

Zitat:
Allerdings habe ich gestern - das mach ich aus lauter Verzweiflung immermal zwischendurch - nochmal Kaspersky laufen lassen, und diesmal! (von ca. 100 Durchläufen) hat er zum ersten Mal etwas gefunden - einen Virus.
Ich den also flugs gesichtet und gelöscht.
Was für ein Virus war das (genaue Bezeichnung) und wo (genauer Pfad) wurde er gefunden? Ev. mal im Report von Kaspersky nachschauen.

Zitat:
PS: gerade Besuch gehabt: nach wie vor Warning! - errorsafe - winfixer - firstload, das ist doch nicht normal!!!???
Nein definitiv nicht.


Grüße Wildone

senpl 08.02.2006 13:04
Oh, Sorry! Hatte ich wohl falsch verstanden....

Also - um sicher zu gehen... :o

Die MEMORY.TEMP ist in dem KillBox-Ordner und die lösche ich jetzt! - OKAY, erledigt!



Dies ist von Kaspersky:

Scan Statistics:
Total number of scanned objects: 79967
Number of viruses found: 1
Number of infected objects: 0
Number of suspicious objects: 1
Duration of the scan process: 01:31:59

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\Temp\5ZY4UJ8I.htm Suspicious: Exploit.HTML.CodeBaseExec sent to KL

Scan process completed.

Hab ich gelöscht!
Weiß der Geier wo der plötzlich herkam...., es wurde die ganzen Tage zuvor ja NIX! gefunden..... :confused: ......und wozu hab ich NAV drauf?


Vielen Dank!

Gruss, Suse

Wildone 08.02.2006 13:07
Hallo,
nfected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Suse\Lokale Einstellungen\Temp\5ZY4UJ8I.htm Suspicious: Exploit.HTML.CodeBaseExec sent to KL
Glaube nicht das es etwas mit dem Popup Problem zu tun hat, , aber warte mal was Sabina meint, die kennt sich da besser aus.

Edit
:D Wenn man vom Teufel spricht


Grüße Wildone

Sabina 08.02.2006 13:10
in die Killbox (das Fenster der Killbox) kopieren, dann das rote Kreuz druecken, dann das naechste rein.
Es ist genau auf der Seite erklaert.
http://virus-protect.org/killbox.html

C:\WINDOWS\SYSTEM32\CNNZXE
C:\WINDOWS\pvcqN
C:\WINDOWS\MEMORY.DMP

PC neustarten, nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell .

scanne mit allen 4 Scannern (dann PC neustarten)
http://virus-protect.org/multiavtool.html

dann scanne bitte noch einmal mit Winpfind und lade es hoch...zum Ueberpruefen.

senpl 08.02.2006 15:15
Hallo!


Erstmal ein Zwischenbericht:

KillBox erledigt - MEMORY.DMP gelöscht


*scanne mit allen 4 Scannern (dann PC neustarten)
http://virus-protect.org/multiavtool.html*

nach dem zweiten - Trendmicro - leider blauer Bildschirm!
.... Computer ausgeschaltet um Beschädigung zu vermeiden......

Ich werde später dann nochmal 3 und 4 versuchen!

Suse

senpl 08.02.2006 18:24
Tja, was soll ich sagen:

bei Nummer 3 McAfee kam leider keine Eingabeaufforderung, ging also auch nicht und Nummer 4 Kaspersky - keine Ahnung, stand immer was von retry und bad und dann sollte ich rebooten - tat ich dann.

Und schon gleich wieder ein schönes PopUp zur Begrüßung! :pfui:

Ich könnt heulen! Mist Mist Mist, das ist scheißfrustrierend!

WinPfind kann ich erst heut nacht laufen lassen, dauert zu lange.

Dann bis morgen.

Gute Nacht, Suse

Sabina 08.02.2006 19:40
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

- man muss eingeben, was gescannt werden soll:

- C:\Windows\System32

danach:

- C:\Windows

danach:

- C:\

-----------------------------------------------------------------------------
suche alle Scanreporte in C:\AV-CLS und kopiere sie hier.

(nur den Teil, wo eventuell eine Malware angezeigt wird)

senpl 09.02.2006 10:48
Guten Morgen!

KillBox hab ich erledigt und den Inhalt gelöscht.

*scanne mit allen 4 Scannern (dann PC neustarten)
http://virus-protect.org/multiavtool.html* - auch erledigt!

Hier das Ergebnis:

Trend:

Current object: c:\

Sector Objects : 0 Known viruses : 1
Files : 465806 Virus bodies : 5
Folders : 4781 Disinfected : 0
Archives : 11184 Deleted : 5
Packed : 601 Warnings : 0
Suspicious : 0
Scan speed (Kb/sec) : 0 Corrupted : 0
Scan time : 05:33:22 I/O Errors : 0


Scan process completed.

Result for all objects:

Sector Objects : 0 Known viruses : 1
Files : 465806 Virus bodies : 5
Folders : 4781 Disinfected : 0
Archives : 11184 Deleted : 5
Packed : 601 Warnings : 0
Suspicious : 0
Scan speed (Kb/sec) : 4881 Corrupted : 0
Scan time : 05:33:22 I/O Errors : 0


MacAfee:

02/08/2006 22:16:10


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Suse]
Scanning C:\*.*
C:\RECYCLER\NPROTECT\02776505.sys ... Found the NTRootKit-R.gen trojan !!!
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 215846
Clean: ................. 214862
Possibly Infected: ..... 1
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0

KAV:

Current object: c:\

Sector Objects : 0 Known viruses : 1
Files : 465806 Virus bodies : 5
Folders : 4781 Disinfected : 0
Archives : 11184 Deleted : 5
Packed : 601 Warnings : 0
Suspicious : 0
Scan speed (Kb/sec) : 0 Corrupted : 0
Scan time : 05:33:22 I/O Errors : 0


Scan process completed.

Result for all objects:

Sector Objects : 0 Known viruses : 1
Files : 465806 Virus bodies : 5
Folders : 4781 Disinfected : 0
Archives : 11184 Deleted : 5
Packed : 601 Warnings : 0
Suspicious : 0
Scan speed (Kb/sec) : 4881 Corrupted : 0
Scan time : 05:33:22 I/O Errors : 0

Leider war es dann 5 H morgens, also folgt WinPfind erst später, ich hab heute wenig Zeit.

Aber ehrlich gesagt, ich bin wirklich sehr frustriert und wenn ich den blöden PC nicht bräuchte, würd ich ihn erst wieder einschalten, wenn ich Zeit und Hilfe habe zum Formatieren! - eben kam schon wieder eine kleine nette Begrüßung dursch so ein beschissenes PUP :kloppen:

Es ist mir unbegreiflich...:crazy:

Vielen Dank für Eure Mühe!

Gruss, Suse

Sabina 09.02.2006 12:17
(dann alles hochladen bitte)...fuehre bitte noch folgendes aus:

- Winpfind
http://virus-protect.org/winpfind.html

- HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

-Complet.bat
http://virus-protect.org/completbat.html

Ich suche eine sys-Datei, mal sehen, ob wir sie finden ;)

senpl 09.02.2006 12:26
Wow, Du hast ja ne Geduld!!!

Danke, ich werde versuchen alles so zu machen. Wie startet man den PC im abgesicherten Modus?

Gerade waren alle alten Bekannten wieder da:
Warning! - errorsafe - winfixer - firstload - Orexis. - MIST!

Ich hab meine Termine abgesagt, versuche mal das alles heute hinzukriegen.
Ist die Reihenfolge wichtig?

Danke, Suse

Sabina 09.02.2006 12:47
die Reihenfolge ist nicht wichtig... nur...dass du alles komplett hoch laedst ;)

Abgesicherter Modus: F8 druecken, wenn der PC hochfaehrt und abgesicherter Modus waehlen.
dann das log auf dem Desktop abspeichern, dass du es im Normalmodus wiederfindest ;)

senpl 09.02.2006 13:59
Hier kommt der -Complet.bat - Teil

Leider nein, wieder viel zu groß!

sind 9 einzelne Dateien, kopier ich in Word und pack sie dann bei rapidshare rein?!



http://rapidshare.de/files/12872087/Datentr.doc.html


Gruss, Suse


Ignorier das Angehängte, hat ja nicht geklappt.....


Rest folgt!

Sabina 09.02.2006 14:27
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Loesche mit der Killbox:

C:\WINDOWS\pvcqN
C:\WINDOWS\Lic.xxx
C:\23990098.$$$
C:\868000412489.dat
C:\WINDOWS\system32\lfeewdev.exe
C:\WINDOWS\system32\odfbjsel.lgg
C:\WINDOWS\system32\Sweeper.cfg
C:\WINDOWS\system32\corsacct.dll
C:\WINDOWS\system32\lo2.txtt
C:\WINDOWS\system32\8104297.jun

neustarten

-------------------------------------------------
Zitat:
08.02.2006 22:48 15.168 RESPING6.EXE-10E8A966.pf
08.02.2006 22:16 37.114 T.EXE-332C4A5F.pf
08.02.2006 13:31 16.278 EQNDPERF.EXE-082A6899.pf
08.02.2006 13:31 10.808 WPDPLVA6.EXE-288DEBE0.pf
suche: findest du diese exe ?
RESPING6.EXE
T.EXE
EQNDPERF.EXE
WPDPLVA6.EXE
----------------------------------------------

senpl 09.02.2006 14:52
RESPING6.EXE
EQNDPERF.EXE
WPDPLVA6.EXE
T.EXE -332C4A5F.pf

in C:\Windows\Prefetch -gefunden

t.EXE in AV-CLS\Sophos gefunden


Killbox lösche ich jetzt


Winpfind auch wieder zu gross! Brauchst Du die noch?
Dann packe ich sie bei rapidshare rein.

Danke, Suse

senpl 09.02.2006 15:24
Hallihallo!

Kaum neu gestartet nach den Löschaktionen wieder WARNIG! da,
naja...... :heulen:


Hier WinPfind bei rapidshare:

http://rapidshare.de/files/12877347/WinPFind.Txt.html


An den abgesicherten Modus habe ich mich noch nicht rangetraut, folgt aber noch!

Danke!

Gruss, Suse

Sabina 09.02.2006 16:17
loesche manuell:

C:\WINDOWS\pvcqN

dann ueberpruefe, ob die Dateien, die du loeschen solltest (mit der killbox), wirklich geloescht sind.

dann poste auch die StartUpliste. Du kannst es ja mal fix im Normalmodus machen ;)

senpl 09.02.2006 16:44
C:\WINDOWS\system32\odfbjsel.lgg - manuell gelöscht


C:\WINDOWS\system32\Sweeper.cfg - kann nicht gelöscht werden, entferne Sie den eventuell vohandenen Schreibschutz

Die anderen sind weg!


Ich weiß wirklich nicht, was los ist - mich haben die Besucher auch bekloppt gemacht.....

Kein Hochladen der Datei *hijackthis.log:-Ungültige Datei*

ich kopiere

Logfile of HijackThis v1.99.1
Scan saved at 16:41:00, on 09.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Suse\LOKALE~1\Temp\Rar$EX00.313\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular sp&eichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - RoboForm-&Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular sp&eichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


StartUp? - wie oder wo? oder reicht das jetzt schon?

Danke, Suse

senpl 09.02.2006 16:51
Ich hab's geschafft - Startup-Liste

leider zu groß, also wieder bei rapidshare:

http://rapidshare.de/files/12883378/startuplist.txt.html


Gruss, Suse

senpl 09.02.2006 17:26
Ich möchte jetzt mal eine kurzen Bericht abgeben:

Warning! kommt zwar noch, wenn ich aber danach den Cookie nicht lösche,
lund nur das PU schließe, läßt es mich in Ruhe und kommt erst wieder, wenn ich den Cookie gelöscht habe.

Bis jetzt -toi,toi,toi - sind die anderen (winfixer, errorsafe, etc.) nicht mehr aufgetaucht und das Anspringen des PC-Ventilators hat mich auch nicht mehr belästigt (nur bei intensiven Grafiken - das ist normal).

Wenn es so bleibt, sind wir ein gr0sses Stück weiter! :aplaus:

Mal sehen.....

Vielen Dank! an dieser Stelle für alle Helfer!

:daumenhoc Warning! kriegen wir (Sabina wohl) auch noch weg.... :confused:

Sabina 09.02.2006 20:05
surfst du mit dem IE oder mit einem anderen Browser ?
Ich schau es mir heute abend an...jetzt kann ich nicht
Gruss aus Lissabon (danke fuer die PM) :)

senpl 09.02.2006 20:19
Ich surfe meist mit dem IE, benutze aber auch manchmal Firefox.
Die Besucher kamen allerdings auch beim Surfen mit Firefox obwohl IE gar nicht geöffnet war.

Komischerweise ist schon lange Ruhe, ist mir fast unheimlich.......
Allerdings hatten schon wieder errorsafe und winfixer ihre Cookies gesetzt
- ohne, dass ein PUP kam?!

Danke!

Gruss, Suse

Sabina 10.02.2006 00:03
Hallo ;)

Start -- Ausführen -- services.msc

Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. (wird auch von Spyware-Software "gekapert")
Hier den Punkt "Nachrichtendienst" aussuchen.
Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Nachrichtendienst" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken.
Der "Nachrichtendienst" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

http://virus-protect.org/windowsdienste.html

---------------------------------------------------------------------
Außerdem Cookies im Browser sperren!
Rechtsklick auf das IE-Symbol => Eigenschaften => Reiter "Datenschutz" = "Alle Cookies sperren" und nur noch Cookies für absolut vertrauenswürdige Sites zulassen (kannst Du unter "Einstellungen" im Datenschutz-Fenster definieren)
http://virus-protect.org/ie.html

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

dann berichte, wie es laueft ;)

senpl 10.02.2006 11:20
Guten Morgen!

Nachrichtendienst war und ist deaktiviert.
*sekundäre Anmeldung* ist gestartet, hat das was zu bedeuten?

Cookies kann ich nur einstellen:
annehmen, sperren, Eingabeaufforderung
für Erstanbieter und Drittanbieter

Da hab ich jetzt eingestellt: Erstanbieter Eingabeaufforderung, Drittanbieter sperren.

Die meisten Seiten setzen ja Cookies, und ich bewege mich auf vielen Seiten, aber ich würd sagen, 95 % seriös - man weiss ja nie......

Das Cleanen mach ich dann später und berichte.

Aber kam auch grad schon wieder ne Begrüßung!, also muss doch irgendwo was sitzen, was die Cookies setzt?! Ich bin nur auf ...yahoo.com gewesen, EMail checken und die schicken mir nicht so eine Werbung...

Danke!

Gruss, Suse


Oh, Oh und dann kam trotz der Cookie-Einstellungen gerade wieder ein PUP!?!
Das glaub ich ja bald nicht mehr......



hab ich grad noch gelesen:
*Trotz alles Vorsicht, ist dennoch immer zu empfehlen, auf den IE zu verzichten und nur noch mit dem Browser Firefox zu surfen*

Mein PU-Problem ist ja trotzdem aufgetaucht, in Form von IE PU's, obwohl dieser gar nicht gestartet war (kein Fenster geöffnet), Ich habe den Firefox benutzt als ich die PU's minütlich kamen und ich wirklich genervt war.

Sabina 10.02.2006 12:04
hast du die Moeglichkeit, mir einen Screenshot vom PopUp zu schicken ?

Zitat:
Mein PU-Problem ist ja trotzdem aufgetaucht, in Form von IE PU's,
obwohl dieser gar nicht gestartet war (kein Fenster geöffnet)

senpl 10.02.2006 12:19
Leider funktioniert das nicht.

Ich hatte hier 2 Anleitungen um dies zu tun, aber vermutlich bin ich zu doof, ich kriegs nicht hin!
Ich kann kein Screenshot erstellen.

Suse

Wildone 10.02.2006 12:30
Hallo,
wenn ich mich kurz einmischen darf, vielleicht funktioniert es ja besser wenn du ein dafür vorgesehenes Programm verwendest. Beispiel wäre das hier.



Grüße Wildone

senpl 10.02.2006 13:01
Danke! :daumenhoc

Das probier ich!

Suse

Tja, was soll ich sagen, ist einfach, zeigt mir aber keine Bilder an.
Ich habs mal getestet bei meinem Destktop und yahoo und so.
Brauch ich da noch ein Bildprogramm ausser meinem MAGIX zu?

Danke, Suse

Ich nochmal, nu hats geklappt!

Werd ich also die Cookie-Einstellungen zurücksetzn und dann ein Screenshot versuchen zu erstellen....., beim nächsten Besucher!

senpl 10.02.2006 14:07
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner


Dies ist erledigt! :daumenhoc

Ich bin bereit für Screenshot! :daumenhoc

Mal sehen, was und ob passiert..... :balla:

Bericht folgt dann frühestens heut abend, gestern kamen die PUP's, bzw. Cookies auch erst nach Stunden wieder.

Bis später!

Danke + Gruss, Suse

Princ_of_Galaxy 10.02.2006 14:41
öm spricht was dagegen das sie den rechner neustartet, und bevor sie ins netz geht auf start ausfürhren geht dort cmd eingibt und dan den befehl nestat eingibt.
Und was dan dort ausgegeben wird schreibt sie hier rein?

ichmein da sich die pop up's ja hoffentlich nur öffnen wenn sie inst internet geht
muss es logischerweise ein programm geben welches rausfindet wan sie im internet ist.
Also muss das progamm an einem port lauschen.
UNd wenn man dan weis an welchem port gelauscht wird kann man den dan
mauell schließen.
Behebt zwar nicht das problem aber zumindest die syntome bis zum neuaufsetzen.:D

(oder hab ich wieder was flasch verstanden?)

Wildone 10.02.2006 14:45
Hallo,
wurde schon überprüft durch TCPView, auch ergebnislos, siehe hier.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19