oh ja! er war in der tat schneller! besonders
nachdem ich die registry (vor monaten) optimiert und defragmentiert hatte. war großartig! ging knackig schnell ...

ganz ehrlich? ich bin für's rumfrickeln. ich bin immer offen zu lernen, gerade bei solchen mistviechern. schadet definitiv nicht. wenn du bereit wärst mir noch etwas von deiner zeit zu widmen, würde ich gern loslegen.?

ein zoo, hm? ist denn der zoo jetzt weg? hat escan tatsächlich schon mal das gröbste beseitigt?

grüße mocca

Zitat:

Zitat von Mocca

ein zoo, hm? ist denn der zoo jetzt weg? hat escan tatsächlich schon mal das gröbste beseitigt?

Im Zoo hat zumindest ein Artensterben eingesetzt. Sollte eScan nicht wirklich alles erwischt haben, kann es sein, dass ein Virus wieder aktiv ist bzw ein anderer unbekannter noch sein Unwesen treibt.

Also:

Erstelle nochmal ein HJT-Log und poste dieses. Dann schauen wir mal, ob zumindest oberflächlich alles in Ordnung ist.
Danach bitte nochmal eScan laufen lassen damit wir sehen, ob von den bereits entfernten Viechern nicht wieder etwas zum Leben erweckt wurde.

so. mußte überstunden arbeiten und gleich nachher wieder aufstehen ... gäääähn

bitteschön. hier der hjt log von heute. nicht im safe mode ausgeführt. wäre das besser? dann mach ich gleich nachher noch einen. oder besser morgen früh.

habe escan laufen lassen und jetzt weiß ich ganz genau, welche 3 dateien die trojaner sind. die sind leider, leider meine eigene schuld. escan hat sie wohl gelöscht und ich hoffe, sie kommen nicht wieder.
muß nur noch die registry scannen und werd alles morgen früh posten.

(ein popup fragt mich grad schon wieder ob ich nicht vielleicht doch noch den drive cleaner installieren möchte, d h daß da immer noch spyware ist. "ErrorSafeCorporation" soll ich da zulassen. schönen dank auch. natürlich nicht.)

wie dem auch sei. what else? oh ja: das log file:

Logfile of HijackThis v1.99.1
Scan saved at 23:23:19, on 09.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

sag mir nicht, daß der zoo wieder eine arche noah geworden ist

mein rechner hat sich soweit erstmal prima hochgefahren, braucht aber immer noch ewigkeiten bspweise zum öffnen des arbeitsplatzes. aber ich will mal nicht ungeduldig sein, eins nach dem anderen.

Mocca

Zitat:

sag mir nicht, daß der zoo wieder eine arche noah geworden ist

Im HJT-Log sehe ich nur noch Hank und Joe, die zwei Pennerbrüder. wir versuchen es mal mit Killbox - Pocket KillBox. Nimm die folgenden zwei Dateien gemäß Anleitung (erst vollständig! lesen, dann rumfrickeln) in die Liste auf:

C:\WINDOWS\system32\Netverchk.exe
C:\WINDOWS\System32\dfwseehj.dll

Wichtig ist, dass die Dateien in einem Rutsch gelöscht werden. Du musst also nach dem Auswählen der ersten Datei und Klick auf das rote Kreuz, die folgende Abfrage nach einem Neustart verneinen, dann die zweite Datei angeben, auf das rote Kreuz klicken und dann erst die Frage nach einem Neustart mit "ja" beantworten.
Im Anschluss daran, ein neues HJT-Log erstellen.

hier noch der escan:

Wed Jan 10 09:20:40 2007 => Checking Module Usage Entries...
Wed Jan 10 09:20:40 2007 => Checking User Trusted External App Entries...
Wed Jan 10 09:20:40 2007 => Checking Shared DLL Entries...
Wed Jan 10 09:20:43 2007 => Checking App Path Entries...
Wed Jan 10 09:20:44 2007 => Checking Installer Entries...
Wed Jan 10 09:20:47 2007 => Checking Shared Tools Entries...
Wed Jan 10 09:20:47 2007 => Checking File Extension Entries...
Wed Jan 10 09:20:47 2007 => Checking Application Cache Entries...

Wed Jan 10 09:20:47 2007 => ***** Überprüfe spezielle ITW Viren *****
Wed Jan 10 09:20:47 2007 => Überprüfe auf Welchia Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf LovGate Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf CodeRed Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf OpaServ Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Sobig.e Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Winupie Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Swen Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf JS.Fortnight Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Novarg Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Pagabot Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.b Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.a Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Adware.SeekSeek Virus...

Wed Jan 10 09:20:47 2007 => ***** Scan vollständig. *****

Wed Jan 10 09:20:47 2007 => Gescannte Dateien: 18381
Wed Jan 10 09:20:47 2007 => Gefundene Viren: 0
Wed Jan 10 09:20:47 2007 => Anzahl der desinfizierten Dateien: 0
Wed Jan 10 09:20:47 2007 => Umbenannte Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl der gelöschten Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl Fehler: 5
Wed Jan 10 09:20:47 2007 => Dauer des Scans bisher: 00:02:14
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Datum: 1/9/2007
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Zähler: 257159

Wed Jan 10 09:20:47 2007 => Scan vollständig.

keine viren oder trojaner gefunden.
das merkwürdige ist aber, daß heute früh der explorer wieder nicht von alleine starten wollte. hm. muß ich das verstehen?

Zitat:

Zitat von MightyMarc

Im Anschluss daran, ein neues HJT-Log erstellen.

Das der Explorer nicht starten will, könnte uns in die Situation bringen, mal etwas Sisyphus zu spielen. Zuerst aber bitte das HJT-Log. Inzwischen kannst Du schon mal das Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler herunterladen.

hier nun zuerst das, was in "registry und speicher" von escan gefunden wurde:


Wed Jan 10 21:50:38 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Wed Jan 10 21:50:38 2007 => Loading Spyware Signatures from new External Database (Size: 200150).
Wed Jan 10 21:50:46 2007 => Indexed Spyware Databases Successfully Created...

Wed Jan 10 21:50:49 2007 => System found infected with toolbar888 Browser Hijacker ({569304ba-83ed-4cff-ac26-be3e482f7208})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:49 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:51 2007 => System found infected with toolbar888 Browser Hijacker ({c6f2214e-0b54-45a9-b90d-7dd4ba45ed0b})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:51 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:52 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\magnet
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\magnet !!!
Wed Jan 10 21:50:53 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:54 2007 => Deleting Registry Key: HKCU\Software\smartshopper
Wed Jan 10 21:50:54 2007 => Offending Key found: HKCU\Software\smartshopper !!!
Wed Jan 10 21:50:54 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:55 2007 => Deleting Registry Key: HKCU\\magnet
Wed Jan 10 21:50:55 2007 => Offending Key found: HKCU\\magnet !!!
Wed Jan 10 21:50:55 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:59 2007 => Offending Folder found: C:\WINDOWS\System32\smartshopper
Wed Jan 10 21:50:59 2007 => Deltree of Folder C:\WINDOWS\System32\smartshopper...
Wed Jan 10 21:51:00 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:27 2007 => Checking CLSID Reference Entries...
Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwAuthorizedApplication" verweist auf das ungültige Objekt "{EC9846B3-2762-4A6B-A214-6ACB603462D2}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwMgr" verweist auf das ungültige Objekt "{304CE942-6E39-40D8-943A-B913C40C9CD4}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwOpenPort" verweist auf das ungültige Objekt "{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS" verweist auf das ungültige Objekt "{F9AE8980-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS ErrorLookup" verweist auf das ungültige Objekt "{F9AE8981-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

danach der hjt log ausgeführt:

Logfile of HijackThis v1.99.1
Scan saved at 23:02:46, on 10.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

------------------

wollte grad ein hjt log und killbox.exe im safe mode ausführen, aber da kann ich den explorer schon gleich gar nicht länger als 2 sekunden (buchstäblich!!!) offen halten. deshalb gleich wieder zurück in den normal mode. dementsprehend kann ich auch nicht mit killbox.exe arbeiten, denn im normal mode bringt das nicht viel, oder? wenn doch, leg ich sofort los.

interessant:
meine partition c ist "auf einmal" so voll, daß ich tatsächlich erst das eine oder andere gb hinschieben muß, sonst ist für service pack 2 kein platz, fürchte ich. würde gern mit partition manager 8 arbeiten, weiß aber nicht, ob das im moment so ratsam ist. aber ohne platz

Zitat:

Zitat von Mocca

wollte grad ein hjt log und killbox.exe im safe mode ausführen, aber da kann ich den explorer schon gleich gar nicht länger als 2 sekunden (buchstäblich!!!) offen halten. deshalb gleich wieder zurück in den normal mode. dementsprehend kann ich auch nicht mit killbox.exe arbeiten, denn im normal mode bringt das nicht viel, oder? wenn doch, leg ich sofort los.

Dann leg los.
Nur mal so für's Protokoll: ich glaube wir operieren einen Hirntoten.