IE Explorer öffnet sich plötzlich mit Werbung

AndiCGN · 13.04.2007, 14:05

Hallo, habe seit gestern Abend wohl einen Virus auf der Platte. Kompletter System Check mit Norton Antivirus brachte nix. Habe dann spybot s+d rüber laufen lassen, der hat mehrere Sachen gefunden und behoben.
Jetzt öffnet sich jedoch immer noch der IE ohne Vorwarnung (obwohl ich Mozilla Firefox benutze) und Werbeseiten erscheinen (z.B. Norton taugt nix, installieren Sie :xxxx). Der Rechner ist auch insgesamt sehr langsam geworden.
Hier einmal das HijackThis file mit der Bitte um Begutachtung.
Vielen Dank schonmal für Eure Hilfe
Andi

++++++++++++++++++++++++++++++++++++++++++++++++++

Logfile of HijackThis v1.99.1
Scan saved at 14:19:55, on 13.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\PROGRA~1\NORTON~1\NSR\Agent\VProSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\STAMPIT\BINARY\STRAY.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1169823237\ee\AOLSoftware.exe
C:\PROGRA~1\NORTON~1\NSR\Agent\NSRTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBTray.exe
C:\PROGRA~1\NORTON~2\navw32.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [STAMPIT-Tray] C:\PROGRA~1\STAMPIT\BINARY\STRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1169823237\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [NSRKey] C:\PROGRA~1\NORTON~1\NSR\Agent\NSRTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBTray.exe
O4 - Global Startup: Quicken 2007 Zahlungserinnerung.lnk = C:\Programme\Quicken2007\billmind.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save to &Xdrive - res://C:\Programme\Xdrive\Xdrive Desktop\xdrive.exe/std.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163183333141
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163233750310
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{591179E6-0EAD-4C39-AB3E-9E8D6966ACB9}: NameServer = 81.173.194.68 194.8.194.60
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBPoll.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: Norton Save and Restore - Symantec Corporation - C:\PROGRA~1\NORTON~1\NSR\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

**Sunny** · 13.04.2007, 14:09

Hallo.

Mach als erstes mal folgendes:

Silentrunners Logfile

*Lade dir das Tool -> Silentrunners
*Entpacke das Script in einen Ordner deiner Wahl
*Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
*System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
*dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

AndiCGN · 13.04.2007, 14:30

Ui, das ging schnell :aplaus:
Also hier erstmal das Silentrunner log :

"Silent Runners.vbs", revision R50, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"GMX SMS-Manager" = "C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe" ["1&1 Internet AG"]
"PlaxoUpdate" = "C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe -a" ["Plaxo, Inc."]
"Yahoo! Pager" = ""C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet" ["Yahoo! Inc."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" [file not found]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\wcescomm.exe"" [MS]
"Performance Center" = "C:\Programme\Ascentive\Performance Center\APCMain.exe -m" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"STAMPIT-Tray" = "C:\PROGRA~1\STAMPIT\BINARY\STRAY.EXE" ["Deutsche Post AG"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1169823237\ee\AOLSoftware.exe" ["America Online, Inc."]
"NSRKey" = "C:\PROGRA~1\NORTON~1\NSR\Agent\NSRTray.exe" ["Symantec Corporation"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"osCheck" = ""C:\Programme\Norton AntiVirus\osCheck.exe"" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{287FF496-118D-4455-A33C-3E8C8BAF1477}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nnnmkll.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
{B295BBEC-8CD9-4B35-90AC-60B4B0A1704C}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\fcywu.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
-> {HKLM...CLSID} = "Mobile Device"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Wcesview.dll" [MS]
"{5D64CBA3-BDEC-427C-8A7F-8CB7C9EA7C74}" = "xdrive.LinkedIconOverlay"
-> {HKLM...CLSID} = "Xdrive LinkedIconOverlay Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\Overlay.dll" ["XDrive"]
"{7C541B8D-BD5A-4687-9010-50E2B5D4A8E4}" = "xdrive.LinkedSharedIconOverlay"
-> {HKLM...CLSID} = "Xdrive LinkedSharedIconOverlay Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\Overlay.dll" ["XDrive"]
"{39C2972F-3338-471B-8D67-FA82E46E3AC2}" = "xdrive.SharedIconOverlay"
-> {HKLM...CLSID} = "Xdrive SharedIconOverlay Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\Overlay.dll" ["XDrive"]
"{802293E4-9A69-4387-A084-42814E0BAE29}" = "XDrive properties shell extension"
-> {HKLM...CLSID} = "ShellExtnObj Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\PropExt.dll" [null data]
"{24E75230-0B5A-445D-822E-119FBB211AF4}" = "ExecHook"
-> {HKLM...CLSID} = "ShellObj Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\ExecHook.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{5EC3EA89-4453-4416-A78B-65F689DC2048}" = "Goback Drives"
-> {HKLM...CLSID} = "Goback Drives"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBDrvShX.dll" ["Symantec Corporation"]
"{6809E580-A3A7-11D1-9A00-00A0C945B006}" = "GoBack Shell Extension"
-> {HKLM...CLSID} = "GoBack Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks Premier\Norton GoBack\ShellExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{24E75230-0B5A-445D-822E-119FBB211AF4}" = "ExecHook"
-> {HKLM...CLSID} = "ShellObj Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\ExecHook.dll" [null data]
<<!>> "{287FF496-118D-4455-A33C-3E8C8BAF1477}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nnnmkll.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> fcywu\DLLName = "C:\WINDOWS\system32\fcywu.dll" [null data]
<<!>> nnnmkll\DLLName = "nnnmkll.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
GoBack\(Default) = "{6809E580-A3A7-11D1-9A00-00A0C945B006}"
-> {HKLM...CLSID} = "GoBack Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks Premier\Norton GoBack\ShellExt.dll" ["Symantec Corporation"]
PropExt\(Default) = "{802293E4-9A69-4387-A084-42814E0BAE29}"
-> {HKLM...CLSID} = "ShellExtnObj Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\PropExt.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XdriveRightClickExt\(Default) = "{3C6CC269-AFF3-4D07-BB07-B26A86A4FEED}"
-> {HKLM...CLSID} = "RightClickContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\RightClickExt.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XdriveRightClickExt\(Default) = "{3C6CC269-AFF3-4D07-BB07-B26A86A4FEED}"
-> {HKLM...CLSID} = "RightClickContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\RightClickExt.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
PropExt\(Default) = "{802293E4-9A69-4387-A084-42814E0BAE29}"
-> {HKLM...CLSID} = "ShellExtnObj Class"
\InProcServer32\(Default) = "C:\Programme\Xdrive\Xdrive Desktop\PropExt.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Andi" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Adobe Reader Synchronizer" -> shortcut to: "C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" [null data]
"CAPIControl" -> shortcut to: "C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe" ["DeTeWe AG & Co."]
"Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Hardcopy" -> shortcut to: "C:\Programme\Hardcopy\hardcopy.exe" ["sw4you, Siegfried Weckmann"]
"Lexware Info Service" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Norton GoBack" -> shortcut to: "C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBTray.exe" ["Symantec Corporation"]
"Quicken 2007 Zahlungserinnerung" -> shortcut to: "C:\Programme\Quicken2007\billmind.exe" ["Lexware GmbH & Co. KG"]

Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Vollständige Systemprüfung ausführen - Andi" -> launches: "C:\PROGRA~1\NORTON~2\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Norton SystemWorks - One Button Checkup" -> launches: "C:\Programme\Norton SystemWorks Premier\OBC.exe /CUSTOM /SCHEDULE /AUTO" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Create Mobile Favorite..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\INetRepl.dll" [MS]

{5E638779-1818-4754-A595-EF1C63B87A56}\
"ButtonText" = "Express Cleanup"
"MenuText" = "Express Cleanup"
"Exec" = "C:\Programme\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk" [null data]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" ["Yahoo! Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
GoBack Polling Service, GBPoll, ""C:\Programme\Norton SystemWorks Premier\Norton GoBack\GBPoll.exe"" ["Symantec Corporation"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NMSAccessU, NMSAccessU, "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" [null data]
Norton Save and Restore, Norton Save and Restore, "C:\PROGRA~1\NORTON~1\NSR\Agent\VProSvc.exe" ["Symantec Corporation"]
Norton UnErase Protection, NProtectService, "C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE" ["Symantec Corporation"]
RVS CommCenter, RvsCC, "C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE" [empty string]
RVS Installer, RVSINST, "C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE" ["RVS Datentechnik GmbH, München"]
Speed Disk service, Speed Disk service, "C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE" ["Symantec Corporation"]
Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
RVS Fax Monitor\Driver = "RVSMONNT.DLL" ["RVS Datentechnik GmbH, München"]

----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 273 seconds, including 19 seconds for message boxes)

AndiCGN · 13.04.2007, 15:13

Lade gerade mwav... mein Compie sagt mir, daß er trotz DSL noch über eine Std. Downloaden muß....so nen Mist.

Ich poste dann die Auswertung sobald sie mir vorliegt.
Danke für Deine Geduld
Andi

nochdigger · 13.04.2007, 19:02

Hallo

lade dir mal Blacklight
sollte eine txt Datei bei dem scan auffallen (spekulation von mir) benenne sie um und poste anschließend das Log (findest du im selben Ordner wie Blacklight).
Wenn eine Datei gefunden wurde, starte dein System neu und führe dann Vundofix aus.
Lade dir von hier --> Vundofix
runter

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Berichte ob etwas gefunden wurde und ob du noch Popups hast.

MFG

AndiCGN · 13.04.2007, 23:09

Söderle, nun habe ich erstmal Sunnys Anweisungen gemacht.
Problem war im abgesicherten Modus konnte ich kein Update von escan machen. Habe dann im normalen Modus upgedatet, wieder in den abgesicherten gewechselt und gescannt. Dabei kam dann mit find.bat das Log 1 raus.
Nach Neustart des Computers lief escan nochmal automatisch an und lieferte log2.
Ist jetzt alles sauber ?
Danke schonmal
Gruß
Andi

Log1:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Apr 13 18:32:48 2007 => Version 9.1.9
Fri Apr 13 18:28:12 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 18:32:18 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 21:42:50 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 23:15:12 2007 => Virus-Datenbank Datum: 4/13/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 13 17:56:03 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Apr 13 20:59:35 2007 => Scanne Datei C:\Programme\Wertpapieranalyse_2006\Help\MENUITEM\menu_bearbeiten_markierte_wertpapiere_loeschen.htm
Fri Apr 13 21:04:21 2007 => File C:\RECYCLER\NPROTECT\01067250.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Apr 13 21:04:22 2007 => File C:\RECYCLER\NPROTECT\01067252.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Apr 13 21:35:18 2007 => File C:\WINDOWS\system32\opnnk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Apr 13 17:56:03 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 13 18:28:11 2007 => Gefundene Viren: 0
Fri Apr 13 21:42:50 2007 => Gefundene Viren: 3
Fri Apr 13 18:28:11 2007 => Anzahl Fehler: 0
Fri Apr 13 21:42:50 2007 => Anzahl Fehler: 4
Fri Apr 13 18:28:11 2007 => Dauer des Scans bisher: 00:00:44
Fri Apr 13 21:42:50 2007 => Dauer des Scans bisher: 03:09:03
Fri Apr 13 18:28:10 2007 => Gescannte Dateien: 1026
Fri Apr 13 21:42:50 2007 => Gescannte Dateien: 84353
Fri Apr 13 17:55:00 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 18:27:26 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 17:55:00 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 18:27:26 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 17:55:00 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Apr 13 18:27:26 2007 => System-Ordner Überprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 18:27:26 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 18:27:26 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung aller Festplatten :Aktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung aller Festplatten :Aktiviert

Log 2 nach normalem Start :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Apr 13 18:32:48 2007 => Version 9.1.9
Fri Apr 13 18:28:12 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 18:32:18 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 21:42:50 2007 => Virus-Datenbank Datum: 4/13/2007
Fri Apr 13 23:15:12 2007 => Virus-Datenbank Datum: 4/13/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 13 17:56:03 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Apr 13 20:59:35 2007 => Scanne Datei C:\Programme\Wertpapieranalyse_2006\Help\MENUITEM\menu_bearbeiten_markierte_wertpapiere_loeschen.htm
Fri Apr 13 21:04:21 2007 => File C:\RECYCLER\NPROTECT\01067250.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Apr 13 21:04:22 2007 => File C:\RECYCLER\NPROTECT\01067252.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Fri Apr 13 21:35:18 2007 => File C:\WINDOWS\system32\opnnk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Apr 13 17:56:03 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 13 18:28:11 2007 => Gefundene Viren: 0
Fri Apr 13 21:42:50 2007 => Gefundene Viren: 3
Fri Apr 13 18:28:11 2007 => Anzahl Fehler: 0
Fri Apr 13 21:42:50 2007 => Anzahl Fehler: 4
Fri Apr 13 18:28:11 2007 => Dauer des Scans bisher: 00:00:44
Fri Apr 13 21:42:50 2007 => Dauer des Scans bisher: 03:09:03
Fri Apr 13 18:28:10 2007 => Gescannte Dateien: 1026
Fri Apr 13 21:42:50 2007 => Gescannte Dateien: 84353
Fri Apr 13 17:55:00 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 18:27:26 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => Specherüberprüfung: Aktiviert
Fri Apr 13 17:55:00 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 18:27:26 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => Registry Überprüfung: Aktiviert
Fri Apr 13 17:55:00 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Apr 13 18:27:26 2007 => System-Ordner Überprüfung: Aktiviert
Fri Apr 13 18:32:48 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 18:27:26 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 18:27:26 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Dienste: Aktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Apr 13 17:55:00 2007 => Überprüfung aller Festplatten :Aktiviert
Fri Apr 13 18:32:48 2007 => Überprüfung aller Festplatten :Aktiviert

IE Explorer öffnet sich plötzlich mit Werbung

Log-Analyse und Auswertung: IE Explorer öffnet sich plötzlich mit Werbung