Hi Leute ,

ich werde den Verdacht nicht los, das mein Rechner mit Spyware etc. befallen ist. Ich finde, dass sich der PC komisch verhält, ich kann das als Laie nicht 100% beschreiben. Vielleicht erkennt ja jemand etwas von euch anhand der logs.

mir kam das vor, dass mein PC mit winXP gelegentlich für ein paar Sekunden einfriert, dann wieder ging. An andere Symptome kann ich mich nicht so recht erinnen.

bin wegen den Meldung des Keyloggers etwas verwirrt.

Dazu kommt ich habe nach Anleitung Escan laufen lassen und es wurden
21 Treffer insgesamt von Combo, SmitfraudBrowser Hijacker, Parentis und einen Keylogger gefunden.

Inwiefern fallen die Funde im Escan Log als Falsemeldung auf ?

Da ich eher unerfahren bin, benötige ich etwas Hilfe von euch.
ich habe ich HJT, MWAV, und Malwarebytes einmal laufen lassen.

Die Logs hab ich in der Reheinfolge HJT, MWAV und Malwarebytes angehängt.

danke euch vorab für Hilfe und Ratschläge.





Logfile of HijackThis v1.99.1
Scan saved at 15:43, on 2008-07-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\FRITZ!Fernzugang\CERTSRV.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\FRITZ!Fernzugang\NWTSRV.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\eigene\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\eigene\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\eigene\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\eigene\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [mwavscan] "C:\DOKUME~1\USERNAME\LOKALE~1\Temp\mexe.com" /s /AUTORUNBOOT
O4 - HKCU\..\Run: [Automatisch EPSON Stylus DX5000 Series auf mworx-base (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S27.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series auf mworx-base (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S21.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - h**p://w*w.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM FRITZ!Fernzugang IKE Service (AVMIKE) - AVM Berlin - C:\Programme\FRITZ!Fernzugang\AVMIKE.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!Fernzugang Cert Service (CERTSRV) - AVM Berlin - C:\Programme\FRITZ!Fernzugang\CERTSRV.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: AVM FRITZ!Fernzugang Client (NWTSRV) - AVM Berlin - C:\Programme\FRITZ!Fernzugang\NWTSRV.EXE
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\eigene\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--------------------------------------------------------------------

MWAV-ESCAN


08 Jul 2008 13:48:09 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:09 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:09 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:09 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:11 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:12 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:12 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:12 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:12 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:13 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:13 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
08 Jul 2008 13:48:22 - Offending Folder found: C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\icq\bart\10 24
08 Jul 2008 13:48:22 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:33 - Offending Registry Entry found: hkcr\licenses\7c35ca30-d112-11cf-8e72-00a0c90f26f8
08 Jul 2008 13:48:33 - System found infected with combo Spyware/Adware (hkcr\licenses\7c35ca30-d112-11cf-8e72-00a0c90f26f8)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:35 - Offending file found: C:\WINDOWS\system32\kmd.exe
08 Jul 2008 13:48:35 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\kmd.exe)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:36 - Offending Registry Entry found: hklm\software\swearware/limitblankpassworduse
08 Jul 2008 13:48:36 - System found infected with combo Spyware/Adware (hklm\software\swearware/limitblankpassworduse)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\pol icies\associations
08 Jul 2008 13:48:37 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\po licies\associations)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\exp lorer\browser settings
08 Jul 2008 13:48:37 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\ex plorer\browser settings)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hklm\software\swearware/authentication packages
08 Jul 2008 13:48:37 - System found infected with combo Spyware/Adware (hklm\software\swearware/authentication packages)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hklm\system\currentcontrolset\control\safeboot\min imal\psexesvc
08 Jul 2008 13:48:37 - System found infected with combo Spyware/Adware (hklm\system\currentcontrolset\control\safeboot\mi nimal\psexesvc)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hklm\system\currentcontrolset\control\safeboot\net work\psexesvc
08 Jul 2008 13:48:37 - System found infected with combo Spyware/Adware (hklm\system\currentcontrolset\control\safeboot\ne twork\psexesvc)! Action taken: Keine Maßnahme ergriffen.

08 Jul 2008 13:48:37 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\run/alcmtr
08 Jul 2008 13:48:37 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\ru n/alcmtr)! Action taken: Keine Maßnahme ergriffen.

--------------------------------------------------------------------------

Malwarebytes

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 931
Windows 5.1.2600 Service Pack 3

13:08:35 2008-07-08
mbam-log-7-8-2008 (13-08-35).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|M:\|)
Objekte gescannt: 317606
Scan Dauer: 1 hour(s), 10 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Wie meinst du verhält er sich komisch?

Deine Logs (außer escan) sind sauber.

eScan erzeugt derartig viele Fehlalarme, dass ich mich da jetzt nicht durch jede Meldung durchsuchen will, um sie zu entkräften.
Hast du noch einen konkreten Verdacht?

lg myrtille

gerade eben konnte ich wieder für meherer Sekunden keine Eingabe machen und der PC reagiert gar nicht, auf Strg-alt- Entf. um den Taskmanager zu öffnen.

auf einmal gin der PC wieder ohen Probleme, dieses ist am auffälligsten und kommt ab und an mal vor.

Sorgen mache ich mir um dem gefunden Keylogger im Escan.

Meinst du Parentis? Parentis ist Spyware, das heißt es spioniert dein Verhalten aus, liest aber nicht deine Tastatureingaben mit. Zumindest habe ich dafür keine Anzeichen gefunden.

Oder meinst du das hier:

Zitat:

08 Jul 2008 13:48:37 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\pol icies\associations
08 Jul 2008 13:48:37 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\po licies\associations)! Action taken: Keine Maßnahme ergriffen.

Infos zu expresskeylog
Das Programm installiert sich unter Programme in dem Ordner PCMonitor. Kannst ja einfach nachschauen, ob es da ist.

Es stimmt, dass dieser Keylogger den Eintrag erstellt, das tun allerdings auch noch andere Programme.
Hab eben nachgeschaut, den Eintrag gibt es auf meinem Rechner auch und ich bin mir sihcer, dass ich den Keylogger nicht auf dem Rechner habe.

Dein Problem deutet auch eher auf ne Überlastung des PCs hin?
Was hast du denn für einen Rechner? Was läuft denn alles?

lg myrtille

Hi Myrtille,

der Ordner von dem Keylogger ist nicht auf dem PC zu finden.


ich habe Dienste die ich selten oder nicht benötige deaktiviert, dazu zählen
Vmware - Dhcp - Virtual Mount - Authorization
Apple Mobile Device
Bonjour
Ipodservice

der PC sollte eigentlich genug Leistung haben
P4 3.0 Ghz - 3 GB Ram
512 MB Geforce 8600 GT
grösses Netzteil mit 450 Watt Inkl.
keine externen Geräte die per USB Spannung ziehen.

erstaunlich ist, dass ich heute erneut den Escan einmal laufen lassen habe und siehe da, Kazaa und Gain Gator sind auf einmal da. Ich hänge später einen neuen HJT und Escan an.



HJT
Logfile of HijackThis v1.99.1
Scan saved at 12:25:07, on 10.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programme\eigene\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
c:\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe



ESCAN


10 Jul 2008 00:06:04 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:04 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:04 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:04 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:05 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:05 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:05 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:05 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:05 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:06 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:06 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
10 Jul 2008 00:06:07 - Offending Key found: HKCU\Software\kazaa !!!
10 Jul 2008 00:06:07 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Jul 2008 00:06:08 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
10 Jul 2008 00:06:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Jul 2008 00:06:08 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
10 Jul 2008 00:06:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Jul 2008 00:06:14 - Offending Folder found: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\icq\bart\1024
10 Jul 2008 00:06:14 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Jul 2008 00:06:31 - Offending Registry Entry found: hklm\software\knight
10 Jul 2008 00:06:31 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.

10 Jul 2008 00:06:31 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\explorer\browser settings
10 Jul 2008 00:06:31 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\explorer\browser settings)! Action taken: Keine Maßnahme ergriffen.

Hi,
ich hatte ja die Freude die Entwicklung von eScan in den letzten Jahren relativ präzise mitzuverfolgen. Und mit jedem Update, dass sie gemacht haben, gab es mehr Fehlalarme, weswegen wir uns vor einem Jahr dazuentschieden haben, das Programm eigentlich nicht mehr zu benutzen.
find.bat und Anleitung stehen zwar weiter zur Verfügung, aber viel mehr kommt von unserer Seite nicht mehr.

Ich würde dir alternativ den Kaspersky Onlinescanner empfehlen, die Signaturen von Kaspersky und eScan sind dieselben, nur dass Kaspersky sehr viel weniger Fehlalarme bringt.

Was deinen Rechner angeht: Nein, da sollte in der Tat keine Überlastung zustande kommen. Wahrscheinlich hängt sich irgendeine Software auf.

Hast du mal gesehen was passiert wenn du Panda deaktivierst? Eventuell liegt es daran?

lg myrtille

Hi Myrtille,

ich habe gestern mal das System soweit aufgeräumt und ausgemistet und auch mal den Panda deaktiviert.

Ich habe heute bei Shortnews gelesen, das die Geforce 8 Grafikkarten, Probleme haben, darunter fällt auch meine. Ich versuche derzeit beim Hersteller meine zu reklamieren und eine neue zu bekommen. U.U. könnte das gelegentliche einfrieren des PC daher rühren. Weiter Informationen habe ich noch nicht vorliegen.

Kaspersky Onlinescan war tüchtig gewesen und die meisten Funde, hat dieser in der Datendatei von Thunderbird von meinem eingehenden Emailaccount gefunden. (Spam, etc.)

es blieben Gain.Gator, Combo Spyware und Smitfraud Browser Hijacker noch übrig.

den Smithfraud Browser Hijacker konnte laut Escan ICQ zuordnen, wofür und weswegen der da ist kann ich noch nicht sagen.

gibt es eine Liste von Software von denen man weiss, dass Sie Gain.Gator beinhalten, damit ich dieses ebenfalls einem Programm zuordnen kann? hast du den einen Tip mit welchen Tool oder Anleitung ich den wegbekommen kann ?


bye

Hi,
eine googlesuche zu dem Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history brachte folgendes ans Licht:

Zitat:

First of all, its not a folder, its a registry key. It isn't harmful. All the websites you said in the P3P folder are on my PC as well. These registry entries are the result of immunizations performed with antispyware software, probably Spybot. They are to help stop the installation of spyware from the blocked domains.

Frei übersetzt:
Der Schlüssel ist nicht gefährlich. All die gelisteten Seiten befinden sich auch in meiner Registry.
Die Einträge wurden von Antispyware, wie etwa Spybot (und wahrscheinlich auch Malwarebytes), vorgenommen, sie sollen verhindern, dass von den genannten Seiten Spyware installiert wird.

Fehlalarm von eScan - du kannst den Eintrag natürlich löschen. Das macht allerdings deinen Rechner nicht sicherer.

Zum Kazaaschlüssel hab ich nicht viel gefunden, kannst ja mal schauen welche Unterschlüssel enthalten sind... (start->ausführen->regedit eingeben->zum schlüssel navigieren. (hkcu steht für H_key_current_user)

lg myrtille

EDIT:
Thunderbird löscht Emails nicht.
Wenn du die Mails löschst werden sie erst in den Papierkorb verschoben, wenn du dann den Papierkorb leerst, werden die Mails nur ausgeblendet. Die Mails sind dann aber immernoch vorhanden und werden daher auch von antivirenprogrammen angemeckert.
Um die Dateien endgültig zu löschen, musst du, nach dem Leeren des Papierkorbs, noch unter Datei auf "Ordner dieses Kontos komprimieren" gehen.

HI Myrtille,

ja ich habe Spybot auf dem PC und immunisiert habe ich den PC auch damit, somit ist das mit dem Gator geklärt. Wer hätte das gedacht , dass Spybot den Eintrag erstellt.

wieder etwas dazu gelernt !!!

der kazaa taucht komischer Weise nicht mehr auf, ich kann soviele Scans wie machen wie ich will kein kazaa mehr.

Parentis und der Keylogger sind auch weg, seit ich einige Programme gelöscht habe, die ich eigentlich nicht brauche.

wenn ich nachher zuhause bin werde ich mich mal mit dem Combo befassen, woher der kommt.

Hi Myrtille,

sorry ich war beruflich untergwegs gewesen und konnte mich erst jetzt wieder mit dem PC befassen.

ich habe festgestellt, dass wenn ich IE oder Firefox nutze der Panda "verweigerung der Service Attacke (denial of Service) mit der IP xxxxxxxxx angibt. die dort angezeigte IP ist meine Fritzbox 7170.

desweiterem muss ich gelegentlich die Adresse im Browser mehrmals aufrufen, damit diese im Browser geöffnet wird. Zum Teil wird beim ersten oder zweiten Aufruf wird die entsprechenden Seite nicht gefunden, als ob keine Verbindung im diesem Zeitraum besteht.

klingt das für ddich verdächtig?

schönes Wochenende.

Hi,

Zitat:

ich habe festgestellt, dass wenn ich IE oder Firefox nutze der Panda "verweigerung der Service Attacke (denial of Service) mit der IP xxxxxxxxx angibt. die dort angezeigte IP ist meine Fritzbox 7170.

desweiterem muss ich gelegentlich die Adresse im Browser mehrmals aufrufen, damit diese im Browser geöffnet wird. Zum Teil wird beim ersten oder zweiten Aufruf wird die entsprechenden Seite nicht gefunden, als ob keine Verbindung im diesem Zeitraum besteht.

Ich denke, dass das eine mit dem anderen zusammenhängt und keins von beiden sollte bedenklich sein.
Liest sich eher so als ob Panda deinen Browser aussperren möchte.

lg myrtille

HIHO Myrtille,

das hat das Programm vorher auch nicht gemacht, beim Internet Explorer tritt das Phänomen ebenfalls auf.

anderfalls käpfe ich seit Donnerstag damit, dass die Internet Verbindung abreisst , dann wieder geht, dann wieder nicht. das ganze speilt sich im ca. 5-10 Sekunden Takt ab.

ich habe ein neues HJT Log erstellt, was in meinen Augen sauber aussieht, könntest du bite dir das einmal ansehen.

Logfile of HijackThis v1.99.1
Scan saved at 11:16:22, on 27.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\eigene\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\eigene\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series auf mworx-base (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S8.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Automatisch EPSON Stylus DX5000 Series auf mworx-base (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S13.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\eigene\icq\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\eigene\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe

Hi,
das Log ist sauber.

Bei deinem Internetproblem lkann ich dir nicht wirklcih helfen... Ich würd auf deine Firewall/Antivirensoftware tippen. Wenn du eh über einen Router ins Netz gehst, kannst du die Software ja mal deaktivieren und schauen ob das Problem weiterhin auftritt.

Wenn Panda nicht zulässt, dass deine Fritzbox den Inhalt der Webseiten an deinen Rechner weiterleitet, dann kann der Inhalt auch nicht angezeigt werden...

lg myrtille

Hi Myrtille,

danke dir für deine Hilfestellung und Geduld. Das Internet ist leider noch nicht perfekt, sonst würde ich dir ein grosses kaltes Bier zum Download anbieten :-)

ja das mit dem Internet, suche ich mir schon zurecht mir ging es primär darum das mein Rechner sauber ist.

ich bekomme die Tage die Fritzbox 7270, dann wird sich zeigen wo das Problem herrührt.

den Panda werde ich komplett deinstallieren und mal sehen wie es weiter geht. vielleicht hilft eine Neuinstallation des Panda.

danke dir für deine Hilfe !!!