Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner gefunden! Wie wird alles entfernt? (https://www.trojaner-board.de/31927-trojaner-gefunden-alles-entfernt.html)

Karin1961 04.09.2006 13:41
Trojaner gefunden! Wie wird alles entfernt?
 
Hallo, habe heute 2 Troyaner beim automatischen überprüfen gefunden.
1 x Exploit-MHtRedir.gen und 1 x Generic Spy.e unter Quarantöne wurde gestellt<: W32_API.cap Weiteres nach einem Gesamtscan nicht gefunden. Mein Windows Explorer geht allerdings nun nicht mehr. Habe ein bischen gegoogelt und Euch entdeckt. Habe dann ein Logfile erstellt, kann aber leider nix vertstehen. Welche Position ist denn wohl noch nicht in Ordnung? Bitte um Eure Hilfe in Anfängersprache. Danke. Karin


Logfile of HijackThis v1.99.1
Scan saved at 14:01:41, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hardcopy\hardcopy.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX01.568\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

ordell1234 04.09.2006 14:33
Hi Karin,

prüf bitte
Zitat:
C:\WINDOWS\System32\Userinit.exe
bei Virustotal. Dabei auf Durchsuchen gehen und o.g. Datei senden. Du wirst wahrscheinlich in der Warteschlange stehen, deine Position wird ständig aktualisiert. Poste die Auswertung der Untersuchung bitte in jedem Fall.

Gruß

Karin1961 04.09.2006 14:56
Hallo,

habe ich gemacht und auf send gedrückt. Wie sehe ich denn, wo ich stehe? Nach send ist nix passiert.

ordell1234 04.09.2006 15:09
Vermutlich hast du bei deinem Browser (Netscape?) JavaScript deaktiviert. Das mußt du aktivieren.
Gruß

Karin1961 04.09.2006 15:12
War aktiviert!

Karin1961 04.09.2006 15:17
Ist zwar aktiviert aber wenn ich in Konsole schaue folgender Eintrag


Fehler: http_request.responseText has no properties
Quelldatei: http://www.virustotal.com/vt2.js
Zeile: 157

Was nun?

ordell1234 04.09.2006 15:19
Hm, und mit Internet Explorer geht auch nicht? Wenn nicht, dann lade dir escan, gehe nach der Anleitung vor und poste das log der find.bat, nicht das gesmate mwavscan-log!

Wo genau wurden die Trojaner eigentlich gefunden?

Gruß

edit
Zitat:
Fehler: http_request.responseText has no properties
Quelldatei: http://www.virustotal.com/vt2.js
Zeile: 157
Sieht mir nach einem Javascriptfehler aus, vielleicht gibts hier im Board einen Experten dafür.

2. edit
Blockt dein McAfee Javascript? Prüfe bitte die Einstellungen.

Karin1961 04.09.2006 15:22
Kann ih genau nur von einem sagen:
Dok/Einstellungen/ADmin/Te..... Datei hieß IHUZ9wzg

Karin1961 04.09.2006 16:04
Führe den scan im abgesicherten modus durch. Leider konnte ich nicht alle häkchen setzten, da manche wie z.Bsp. all local drivers hellgrau und nich anzuklicken waren.
Nun habe ich mitten im scan folgende <nachricht :

Spyware/Adware Detected!!!!! You will need to buy eScan or this tool in order to eleminate this Spyware/Adware from your system. Click on BUY THISPRODUKT button. Habe es einfach geschlossen nun kommt der Bericht Habe 16Critical Objekts und380 errors.

Karin1961 04.09.2006 16:09
im abgesicherten Modus komme ich ja nicht ins Internet umhier den Bericht einzustellen wasnun? Imnormalen Modus neu starten?

ordell1234 04.09.2006 16:16
Hast du bei McAfee geschaut, ob das script geblockt wird? Hast du alternativ versucht, mit dem IE
Zitat:
C:\WINDOWS\System32\Userinit.exe
zu senden? Die Untersuchung der Datei liegt mir am Herzen und könnte die ganze Sache abkürzen.

Zu escan: Ja, starte normal und poste das log der find.bat! nicht das gesamte, ich weiß, ich wiederhole mich.

Gruß

Karin1961 04.09.2006 16:20
Sorry bin etwas doof, habe nicht gesehen, dass es hier ein 2. Seite gibt.
Also IE kann ich nicht starten. Welches ist den die find.bat? habe einmal den direkten Bericht gespeichert und einmal den View scan

Karin1961 04.09.2006 16:47
So, habe mal kurz Mcafee ausgeschaltet und bin nun an 65 Stelle bei virustotal, dauer ca.15. Min. werde dann diesesmal hier reinstellen. Soll ich den Berichtvon escan auch reinstellen? Sind 12 Seiten
Danke

Karin

ordell1234 04.09.2006 16:50
Sehr gut.

Zitat Karin1961
Zitat:
Welches ist den die find.bat?
Hast du die Anleitung gelesen?
Zitat:
[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
Solltest du auch schaffen ;)
Bitte benutze den Editieren-Button, wenn du kurzfristig Beiträge änderst/ergänzt.

Karin1961 04.09.2006 16:55
Klasse, bin zwar nich blond aber...
jetzt habe ich auch bis zumEnde gelesen und weiß un was die dicken Zahlen bedeuten. Werde erst mal auf dieses Ergebnis warten, dann noch mal in den gesicherten Modus gehen und scannen und schauen ob Du recht hast und ich es wirklich auf die Reihe bekomme:headbang:

weedy 04.09.2006 16:56
Ich sag' dazu nur so viel:



Die userinit / userinit.exe ( Userinit-Anmeldeanwendung ) ist ein "existenzieller" Windowsprozess, welcher beim booten des Rechners in Aktion tritt.
Unter Anderem ist sie für den Start der Windows-Shell und weiteren Bootvorgängen zuständig.



Quelle: http://www.frankn.com/html/userinit_exe.php


Warum soll an einem harmlosen Prozess was dran sein? Falls dieser infiziert ist, dann ist das sicherlich nicht der Herd. naja......

Karin1961 04.09.2006 17:07
Complete scanning result of "userinit.exe", received in VirusTotal at 09.04.2006, 17:45:12 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.04.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.04.2006 no virus found
BitDefender 7.2 09.04.2006 no virus found
CAT-QuickHeal 8.00 09.04.2006 no virus found
ClamAV devel-20060426 09.04.2006 no virus found
DrWeb 4.33 09.04.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3061 09.04.2006 no virus found
Ewido 4.0 09.04.2006 no virus found
Fortinet 2.77.0.0 09.03.2006 no virus found
F-Prot 3.16f 09.03.2006 no virus found
F-Prot4 4.2.1.29 09.03.2006 no virus found
Ikarus 0.2.65.0 09.04.2006 no virus found
Kaspersky 4.0.2.24 09.04.2006 no virus found
McAfee 4843 09.01.2006 no virus found
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1738 09.04.2006 no virus found
Norman 5.90.23 09.04.2006 no virus found
Panda 9.0.0.4 09.03.2006 no virus found
Sophos 4.09.0 09.04.2006 no virus found
Symantec 8.0 09.04.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.04.2006 no virus found
VBA32 3.11.1 09.03.2006 no virus found
VirusBuster 4.3.7:9 09.03.2006 no virus found

Aditional Information
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

weedy 04.09.2006 17:37
Sag ich doch..hättest du dir auch sparen können.

Karin1961 04.09.2006 17:42
der scan läuft immer noch. Hoffe ich finde den find.bat wirklich, da ich dasProgramm auf dem Desktop habe undnix mit C: Bases-X und so

ordell1234 04.09.2006 18:06
Oje, ich glaube, du kannst den scan abbrechen.
Deaktiviere die Systemwiederherstellung, lade den ccleaner und führe die Säuberung aus.

Fixe (Haken bei Hijackthis am Zeilenanfang setzen)

Zitat:
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
Starte neu. Lies die Anleitung von escan genau. Da steht
Zitat:
Nach dem Download, sollte das Archiv mittels WinRAR entpackt [2] werden. [2] Rechtsklick auf die 'mwav.exe' -> 'Dateien entpacken…' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK'
(Archiv = mwav.exe).

Wenn du das Archiv in Bases_X entpackt hast (Das Verzeichnis mußt du beim Entpacken selbst erstellen), update escan, lösche das escan-log und scanne im abgesicherten Modus erneut. Neustart, poste das log der find.bat sowie ein neues Hijackthis-log.

Karin1961 04.09.2006 18:06
Also ich hätte erst dieDateivon Haui installieren müssen? geht aber nicht,da der Link nicht funktionniert

Karin1961 04.09.2006 18:11
Biite nochmals um Hilfe, habe nur dien MWAV.LogDatei die ist riesig!!! Was habe ich falsch gemacht????????????


Muss ih nun das programm auch im Ordnen basis-x starten? oder kann ich den scan mit dem icon auf dem destop ausführen?

Yopie 04.09.2006 18:18
http://home.arcor.de/haui.45/Download/Find.zip

Runterladen, auspacken, find.bat ausführen. Der Link geht.

Gruß :daumenhoc
Yopie

ordell1234 04.09.2006 18:23
Vergiß die find.bat, das wird nix. Führe zunächst die anderen Schritte aus, Systemwiederherstellung deaktivieren usw.

Bevor du einen neuen! escan machst (entpackt in das Verzeichnis Bases_x), löschst du das alte mwav.log. Dann scannen und dann gib Bescheid, wenn du soweit bist.

Bitte nutze die Editierfunktion, sollte dir ein Nachtrag einfallen.

Karin1961 04.09.2006 19:47
Zitat:
Zitat von Yopie
http://home.arcor.de/haui.45/Download/Find.zip

Runterladen, auspacken, find.bat ausführen. Der Link geht.

Gruß :daumenhoc
Yopie

Danke, der ging und habe es auc:daumenhoc h verstanden, scan läuft nun. Nach säuberung!

Karin1961 04.09.2006 20:53
So, der Scan ist durch und bevor ich jetzt wieder etwas falsch mache,warte ich lieber auf Anweisung wo ist Rehtsklick auf Find.zip?

ordell1234 04.09.2006 21:08
Madam, you drive me crazy. In welchem Ordner befindet sich das log? Wenn nicht in c:\bases_x, dann erstelle diesen Ordner und kopiere das das aktuelle mwav.log da hinein. Entpacke find.zip und führe find.bat aus. Dann suche escan_neu.txt mit Windows. Wird vermutlich dann unter c:\ liegen. Poste das log. Das log ist hoffentlich englisch?! Andernfalls mußt du manuell suchen, aber dazu später mehr.

Gruß

PS: Rechtsklick auf find.zip ist nicht notwendig. Einfach mit links klicken.

Karin1961 04.09.2006 21:09
Habe die Alternative gewählt, die habe ich verstanden.

So hier nun das Ergebnis:
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({ed8db0fd-d8f4-4b2c-bb5b-9ef040fe104d})! Action taken: No Action Taken.
:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:04 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.

Karin1961 04.09.2006 21:16
Habs gefunden:o
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({ed8db0fd-d8f4-4b2c-bb5b-9ef040fe104d})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:04 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "ucmore Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Sep 04 20:10:04 2006 => Offending file found: C:\WINDOWS\system32\acodec.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\date manager !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\kazaa !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\ucmore !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\Software\kazaa !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\date manager !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\kazaa media desktop !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 04 21:50:50 2006 => Total Errors: 514
Mon Sep 04 21:50:50 2006 => Time Elapsed: 01:40:50
Mon Sep 04 21:50:50 2006 => Total Objects Scanned: 89102
Mon Sep 04 20:09:25 2006 => Virus Database Date: 9/4/2006
Mon Sep 04 21:50:50 2006 => Virus Database Date: 9/4/2006
Mon Sep 04 22:02:23 2006 => Virus Database Date: 9/4/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ordell1234 04.09.2006 21:35
Ok, lade dir Spybot SD, update das Programm, immunisiere (wird verständlich, wenn du das Programm geöffnet hast). Scanne mit Spybot SD, behebe die gezeigten Fehler, führe ccleaner aus, starte neu, neuer escan (!mwav.log vorher löschen!, abgesichterter Modus ist m.E. für den scan nicht notw.), poste das neue log escan_neu.txt, poste ein neues Hijackthis-log. Du bist bald durch! :party:

Gruß

edit: link vergessen

Karin1961 04.09.2006 22:11
Kann ich noch nicht glauben. Ich sitze ja schon seit 13 Stunden hier am PC.
Habe alle so gemacht mit immunisieren und cleanernun läuft der Scan mal wieder.
Hat allerdings schon wieder 8 kritische OBjekte gefunden und massenhaft Fehler. Denke ich werde den Scan über Nacht laufen lassen; hat vorhin ja auch bald 2 Stunden gedauert und dann morgen das Ergebnis posten.
Habt tausend Dank für Eure Hilfe und schon mal eine gute Nacht
Karin

Karin1961 05.09.2006 09:05
So, nun einen Scan durchgeführt
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 05 07:51:11 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Tue Sep 05 07:51:15 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Tue Sep 05 07:51:12 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 07:51:12 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 07:51:13 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 07:51:13 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 07:51:13 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 07:51:13 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Sep 05 07:51:15 2006 => Offending file found: C:\WINDOWS\system32\acodec.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Sep 05 07:51:12 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\date manager !!!
Tue Sep 05 07:51:12 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Sep 05 07:51:12 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Sep 05 07:51:13 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\date manager !!!
Tue Sep 05 07:51:13 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\kazaa media desktop !!!
Tue Sep 05 07:51:13 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 05 07:49:12 2006 => Virus Database Date: 9/4/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

und hier das neue LOGFile von HIJACK

Logfile of HijackThis v1.99.1
Scan saved at 10:08:01, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hardcopy\hardcopy.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\bases_x\mwavscan.com
C:\bases_x\kavss.exe
C:\PROGRA~1\Netscape\Netscp.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://XXXX/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://xxxxxmg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

~~~

ordell1234 05.09.2006 10:46
Hi,

ja, in den logs hat sich noch gar nix getan. Im Gegenteil. Hast du Spybot SD richtig benutzt? D.h. nicht nur geupdatet und immunisiert, sondern auch einen Scan gemacht? Hat dir Spybot keine Fehler angezeigt? Kam die Meldung Congratulations, keine Spyware gefunden oder so ähnlich?

Wenn nicht, gehe auf die Schaltfläche "Search and Destroy" und und klicke "Check for Problems".

Fixe im abgesicherten Modus
Zitat:
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - h**p://down.plaxo.com/down/release/instub.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://xxxxxmg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
edit und poste ein neues HJT-log.

Was macht eigentlich dein Internet-Explorer?

Gruß

Karin1961 05.09.2006 12:01
Hoffe es ist so richtig!



Logfile of HijackThis v1.99.1
Scan saved at 12:58:26, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxxxx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://xxxxx.plaxo.com/down/release/instub.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://xxxxxxxx.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://xxxxxxx/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

BataAlexander 05.09.2006 12:11
Hallo,

poste bitte ein Silentrunners log.

Gruß

Schrulli

Karin1961 05.09.2006 12:24
Bitte hier:
"Silent Runners.vbs", revision 47, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Steam" = ""c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent" [file not found]
"WebCamRT.exe" = (empty string)
"STYLEXP" = "C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string]
"Mozilla Quick Launch" = ""c:\Programme\Netscape\Netscp.exe" -turbo" ["Mozilla, Netscape"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [empty string]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" ["HP"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"LVCOMS" = "C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" ["Logitech Inc."]
"WinampAgent" = ""C:\Programme\Winamp3\winampa.exe"" [null data]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"PE2CKFNT SE" = "C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [null data]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe" ["Ulead Systems, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"AVMWlanClient" = "C:\Programme\avmwlanstick\wlangui.exe" ["AVM GmbH Berlin"]
"VSOCheckTask" = ""C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask" ["McAfee, Inc."]
"VirusScan Online" = "C:\Programme\McAfee.com\VSO\mcvsshld.exe" ["McAfee, Inc."]
"OASClnt" = "C:\Programme\McAfee.com\VSO\oasclnt.exe" ["McAfee, Inc."]
"MCUpdateExe" = "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe" [file not found]
"MCAgentExe" = "c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [file not found]
"NAV CfgWiz" = ""C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {HKLM...CLSID} = "Mobile"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" [file not found]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {HKLM...CLSID} = "Mobile ContextMenuHandler"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" [file not found]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {HKLM...CLSID} = "Mobile PropertySheetHandler"
\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" [file not found]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"load" = (value not set)
"run" = (value not set)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Admin" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart
"Hardcopy" -> shortcut to: "C:\Programme\Hardcopy\hardcopy.exe" ["sw4you, Siegfried Weckmann"]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#Deskjet#5550" -> launches: "C:\Programme\Hewlett-Packard\upapp\hpqfruv.exe -I "#Hewlett-Packard#Deskjet#5550"" [empty string]
"Norton AntiVirus - Vollständige Systemprüfung ausführen - Admin" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 34
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
AVM WLAN Connection Service, AVM WLAN Connection Service, "C:\Programme\avmwlanstick\WlanNetService.exe" ["AVM Berlin"]
NetOp Helper ver. 8.00 (2006047), NetOp Host for NT Service, ""C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE"" ["Danware Data A/S"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
StyleXPService, StyleXPService, ""C:\Programme\TGTSoft\StyleXP\StyleXPService.exe"" [empty string]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Licensing Detect Internet Connection, DJSNETCN, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt06\Driver = "hpzlnt06.dll" ["HP"]
NetOp Remote Print Port Monitor NT\Driver = "NRPMONNT.DLL" ["Danware Data A/S"]
Shared Port\Driver = "SharedPort.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 47 seconds, including 15 seconds for message boxes)

ordell1234 05.09.2006 13:34
Das startup-log sieht m.E. nach sauber aus.

öffne SpybotSD, Menü>Modus>erweiterter Modus
gehe in der linken Taskleiste auf Einstellungen (bzw. settings) >Einstellungen>Wizard>Backup anlegen

Dann
Gehe auf Start>Ausführen>regedit>klick auf den Arbeitsplatz>gehe in das Menü Bearbeiten>suchen und gib den Schlüssel 02BED220-FBC7-4392-93A2-3A50B056F78E ein. Lösche diesen Schlüssel manuell.

Starte neu, lade dir Blacklight und poste das log von Blacklight sowie ein neues HJT-log.

Karin1961 05.09.2006 14:10
welche version? user interface version oder command line version?

ordell1234 05.09.2006 14:14
user interface version

Karin1961 05.09.2006 14:22
Scan ist durch


No hidden items were found

Karin1961 05.09.2006 14:25
Logfile of HijackThis v1.99.1
Scan saved at 15:23:35, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} -
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://xxxxx/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://xxxxxxxx/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

ordell1234 05.09.2006 14:59
Deaktiviere den residenten Teil von Spybot (Teatimer + SDHelper) SpybotSD>Werkzeuge>resident>Haken raus

fixe im abgesicherten Modus

Zitat:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} -
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://xxxxx/turbo_lister/DE/install.cab
Starte neu. Erstell ein neues HJT-log. Prüfeselbst, ob o.g. O16 Einträge wieder vorhanden sind.

Wenn ja, dann lade dir erunt und sichere damit deine Registry. Dann und erst dann lösche in der Registry die Schlüssel

02BED220-FBC7-4392-93A2-3A50B056F78E

26CBF141-7D0F-46E1-AA06-718958B6E4D2

Durchsuche dabei die gesamte Registry. Wenn du dir nicht sicher bist, frage vor dem Löschen hier im Board.

Starte neu und poste ein neues HJT-Log. Sollten die Einträge immer noch da sein, geb ichs auf und schlauere Leute im Board sollen sich des Problems annehmen.

Und installier bitte nicht ungefragt neue Software wie IE 7 beta während der Problembehebung.

Gruß

Karin1961 05.09.2006 15:51
Sie sind weg


Logfile of HijackThis v1.99.1
Scan saved at 16:45:14, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http:/xxxxxxx/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http:/xxxxxolbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://xxxxxxxxxxxm/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

ordell1234 05.09.2006 16:16
OK.

Fixe im abgesicherten Modus noch folgendes:
Zitat:
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http:/xxxxxxx/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
Hast du noch Teile von McAfee installiert? Schaue bitte unter Systemsteuerung>Software nach. Falls ja, deinstalliere den Rest. Sollte dir in der Übersicht kein Eintrag angezeigt werden, schaue bitte im Ordner c:\Programme\McAfee nach, ob du dort uninstall-Routinen findest. Die heißen uninstall.exe oder so ähnlich. Falls ja führe sie aus. Falls nicht, lösche den Ordner c:\Programme\McAfee komplett und fixe im abgesicherten Modus folgende Einträge:

Zitat:
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O16 - DPF:{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http:/xxxxxolbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://xxxxxxxxxxxm/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
Die Fehlermeldung wegen fehlender resource.dll sollte dann nicht mehr auftauchen.

Reinige mit ccleaner das System incl. Registry, führe zusätzlich im abgesicherten Modus einen escan aus (vorher clear log klicken!) und poste das neue log der find.bat sowie ein neues HJT-log.

Karin1961 05.09.2006 16:30
sorry, aber diebeiden 16er sind doch noch da. lade jetzt das programm für die registry runter und schau dann mal

Karin1961 05.09.2006 17:32
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 05 17:57:30 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Tue Sep 05 17:57:34 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Sep 05 17:57:31 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Sep 05 17:57:34 2006 => Offending file found: C:\WINDOWS\system32\acodec.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Sep 05 17:57:31 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\date manager !!!
Tue Sep 05 17:57:31 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Sep 05 17:57:31 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Sep 05 17:57:31 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\date manager !!!
Tue Sep 05 17:57:31 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\kazaa media desktop !!!
Tue Sep 05 17:57:31 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Sep 05 18:24:01 2006 => Total Errors: 540
Tue Sep 05 18:24:01 2006 => Time Elapsed: 00:27:12
Tue Sep 05 18:24:01 2006 => Total Objects Scanned: 30308
Tue Sep 05 18:24:02 2006 => Virus Database Date: 9/4/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ordell1234 05.09.2006 18:02
Eigentlich hätte ich gedacht, SpybotSD hätte sich um die Funde gekümmert. Offenbar nicht. Lass mal

C:\WINDOWS\system32\acodec.dll bei Virustotal prüfen.

Deinstalliere Kazaa bzw. entferne die Registryeinträge manuell.

Was ist mit einem aktuellen HJT-log? Hast du die Einträge gefixt? Was ist mit McAfee? Gibt es sonst Probleme/Auffälligkeiten bei deinem PC? Berichte, was du gemacht hast, ich habe keine Ahnung.

Kannst außerdem einen Onlinescan bei Kaspersky machen und berichten. Ich kann dir dann leider nicht weiter helfen. Da müssen die Profis ran.

Gruß

Karin1961 05.09.2006 18:07
Habe alles gemacht nach deiner Anweisung. Die Fehlermeldung ist weg. Wie soll ich Kazaa löschen? Kannst Du mir den Link zu Virustotal schicken, blicke langsam nicht mehr durch. was ich schon mal gemacht habe und was nicht. Was mach ich mit dem gator?


HIer das letzte Hijack file
Logfile of HijackThis v1.99.1
Scan saved at 17:24:34, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

ordell1234 05.09.2006 18:28
Virustotal

Poste das log.

edit: Findet SpybotSD nichts mehr? Kann es mir kaum vorstellen.

Karin1961 05.09.2006 18:31
Complete scanning result of "Acodec.dll", received in VirusTotal at 09.05.2006, 19:14:20 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.05.2006 no virus found
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.80.02 09.05.2006 no virus found
Panda 9.0.0.4 09.05.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.04.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found

Sunny 05.09.2006 18:38
@Karin scanne die Datei..

Zitat:
scanning result of "Acodec.dll"
noch einmal, der Bericht bzw. die Auswertung war nicht vollständig. Es fehlen die Dateiangaben ganz unten. (Größe der Datei etc.)

Gruß
Sunny

ordell1234 05.09.2006 18:43
Dein HJT-log sieht sauber aus, nur ein unnötiger Eintrag, den du im abgesicherten Modus fixen kannst.

Zitat:
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file
Sollte eigentlich schon längst geschehen sein, aber nicht tragisch.

Die Spyware-engine von escan gibt gerne Falschmeldungen aus, überschätze sie daher nicht.

Was hast du mit McAfee angestellt? Deinstalliert? Du hast nicht alles ausgeführt, was ich schrieb, sonst wären die Einträge nicht da.

Und bitte beantworte
Zitat:
Gibt es sonst Probleme/Auffälligkeiten bei deinem PC?
Mach abschließend einen Onlinescan bei Kaspersky (IE mit aktiviertem ActiveX notwendig).

Karin1961 05.09.2006 19:06
z.zt. laufen 2 weitere Scanns bei virustotal, danach gehe ich wieder in den abgesicherten Modus.

Habe keine weiteren Probleme auf dem PC ( ausser dass sich jetzt immer diese fenster von Spybot öffnen)

Karin

ordell1234 05.09.2006 19:10
Wieso abgesicherter Modus? Poste einfach das vollständige log der Auswertung.

Welche Fenster? Was steht drin? Bei welchen Aktionen öffnen sie sich? Hast du die residenten Wächter wie oben beschrieben deaktiviert?

Beschreibe die Probleme bitte genau, ich sitze nicht vor deinem PC.

Karin1961 05.09.2006 19:17
den residenten Wächter habe ich deaktiviert, aber es stört ihn nicht. Bei jedem Neustart zeigt er mir Meldungen, dass er nicht zulassen will, dass dies und jenes geändert wird. Leider ist das Fenster nicht ganz zu sehen. Sicher werde ich die beiden scann Berichte erst einstellen und dann in den gesicherten Modus gehen um deine anggebenen Schritte zu befolgen

ordell1234 05.09.2006 19:26
Zitat:
den residenten Wächter habe ich deaktiviert, aber es stört ihn nicht. Bei jedem Neustart zeigt er mir Meldungen, dass er nicht zulassen will
Hm, schräg.

Zitat:
dass dies und jenes geändert wird.
Na da bin ich ja mal ne ganze Runde weiter. Geht es etwas genauer?

edit:
Warte die Auswertungen ab und poste die vollständigen logs sowie den Wortlaut (soweit möglich) der Meldungen von SpybotSD.

irrlicht 05.09.2006 19:40
Hallo,

Zitat:
Hm, schräg.
Nicht schräg...schlecht beschrieben..;)

Resistend verweigert/erlaubt die Änderung von .........

so etwa ,Karin ?
Bitte nimm folgendes als Merksatz zur Kenntnis :
Du mußt unbedingt darauf achten,die Meldungen in ihrem Wortlaut weiterzugeben.
Viele dieser für dich kryptischen Meldungen, sind uns hier durchaus bekannt.
Meistens ist auch bekannt was zu tun ist.
Wir helfen gerne,aber Fehlermeldungen mit "irgendwas von Spybot" oder "da kommt eine Zahl mit Buchstaben" sind uns nicht bekannt :heulen: Demzufolge kann auch nichts geraten werden.Ist klar,oder ?
Je genauer du bist,desdo zielgerichteter kann geholfen werden....
Irrlicht

Karin1961 05.09.2006 19:40
1. scan

mehr konnte ich nicht kopieren, habe die Seite aber noch auf

Complete scanning result of "Acodec.dll", received in VirusTotal at 09.05.2006, 20:18:17 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.05.2006 no virus found
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.90.23 09.05.2006 no virus found
Panda 9.0.0.4 09.05.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found


Aditional Information
File size: 78848 bytes
MD5: 0dc4ab2608b08fadc7071ccca88a05ce
SHA1: b651f5107689653e83e6e9040a221fa4eb3eb236

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com


2. scan

Complete scanning result of "userinit.exe", received in VirusTotal at 09.05.2006, 20:18:46 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.05.2006 no virus found
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.80.02 09.05.2006 no virus found
Panda 9.0.0.4 09.05.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found


Aditional Information
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com

Karin1961 05.09.2006 19:57
Also ich habe mir mal einige der Fenster aufgeschrieben, da sie sich nich komplett lesen lassen und auch nicht kopieren lassen:

Sybot hat festgestellt, dass ein Eintrag geändert wurde:

Kategorie: System Startup global entry
Änderung: Wert gelöscht
Eintrag: VSO Check Task
Alte Daten:C\Progr."1/McAfee....

Sybot hat festgestellt, dass ein Eintrag geändert wurde:

Kategorie: Global Browser Toolbar
Änderung: Wert gelöscht
Eintrag: {EF99BD32-C1FB-11D2-892F-0090271D4F8.....
Alte Daten:hex:00


Wenn ich auf das Kreuz gehe ( denn viel mehr kann ich nicht sehen , es sind noch Fenster unter Merke diese Entscheidung) kommt: Änderung an der Registrierungsdatenbank verboten. Resident verweigert die Änderung an .....

Klicke ich das Fenster ( welches ich nur erahnen kann an) kommt, Resident erlaubt die Änderung von ......


Allerdings bei jedem Neustart geht es wieder von vorne los....

Tut mir leid, wenn ich mich fachspezifisch ausdrücke, aber bin absoluer Anfänger auf diesem Gebiet und schon froh, dass ich wenigstens etwas verstehe und Programme scannen kann und so weiter....

Sollte ich allerdings für Euch zu bräsig sein, könnt ihr es gerne sagen, dann werde ich den Rechner halt zum reparieren geben.

Karin

ordell1234 05.09.2006 20:05
edit2:
Was hast du mit McAfee angestellt? Du bist mir immer noch eine Antwort schuldig. Hast du es deinstalliert? Die Meldungen von Spybot kommen wohl von McAfee.

Deinstalliere McAfee komplett, siehe Beitrag-Nr. 44.

BataAlexander 05.09.2006 20:10
Hallo,

Du hast McAfffee und Norton auf dem Rechner installiert.
Entferne eins dieser Programme.

Welche konkreten Probleme hast Du jetzt noch?

Gruß

Schrulli

Karin1961 05.09.2006 20:10
05.09.2006 07:46:21 Verweigert value "MCUpdateExe" (new data: "c:\PROGRA~1\mcafee.com\agent\mcupdate.exe") geändert in System Startup global entry!
05.09.2006 10:43:42 Verweigert value "{BA52B914-B692-46c4-B683-905236F6F655}" (new data: "") gelöscht in Global browser toolbar!
05.09.2006 10:43:44 Verweigert value "Cleanup" (new data: "c:\programme\mcafee.com\shared\mcappins.exe /v=3 /cleanup") hinzugefügt in System Startup global entry!
05.09.2006 10:43:48 Verweigert value "VSOCheckTask" (new data: "") gelöscht in System Startup global entry!
05.09.2006 10:43:49 Verweigert value "VirusScan Online" (new data: "") gelöscht in System Startup global entry!
05.09.2006 10:43:49 Verweigert value "OASClnt" (new data: "") gelöscht in System Startup global entry!
05.09.2006 10:45:52 Verweigert value "MCUpdateExe" (new data: "c:\PROGRA~1\mcafee.com\agent\mcupdate.exe") geändert in System Startup global entry!
05.09.2006 10:45:55 Verweigert value "msci" (new data: "C:\DOKUME~1\Admin\LOKALE~1\Temp\200695104544_mcinfo.exe /insfin") hinzugefügt in System Startup global entry!
05.09.2006 10:45:57 Verweigert value "Cleanup" (new data: "C:\DOKUME~1\Admin\LOKALE~1\Temp\200695104546_mcappins.exe /v=3 /cleanup") hinzugefügt in System Startup global entry!
05.09.2006 10:45:57 Verweigert value "MCAgentExe" (new data: "") gelöscht in System Startup global entry!
05.09.2006 10:56:16 Verweigert value "ccApp" (new data: ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"") hinzugefügt in System Startup global entry!
05.09.2006 10:56:41 Verweigert value "DJSNetCN" (new data: "C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe") hinzugefügt in System Startup global entry!
05.09.2006 10:57:43 Verweigert value "SSC_UserPrompt" (new data: ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"") hinzugefügt in System Startup global entry!
05.09.2006 11:01:00 Verweigert value "{C4069E3A-68F1-403E-B40E-20066696354B}" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 11:27:50 Verweigert value "NAV CfgWiz" (new data: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SymProbe.exe -r "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"") geändert in System Startup global entry!
05.09.2006 11:33:19 Verweigert value "ccApp" (new data: ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"") hinzugefügt in System Startup global entry!
05.09.2006 12:06:19 Verweigert value "NAV CfgWiz" (new data: "") gelöscht in System Startup global entry!
05.09.2006 14:17:01 Verweigert value "wextract_cleanup0" (new data: "rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Admin\LOKALE~1\Temp\IXP000.TMP\"") hinzugefügt in System Startup global entry!
05.09.2006 14:39:48 Verweigert value "Search Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") geändert in Browser page!
05.09.2006 14:40:00 Verweigert value "Start Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}") geändert in Browser page!
05.09.2006 14:40:01 Verweigert value "Default_Page_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=54729") geändert in Browser page!
05.09.2006 14:42:41 Verweigert value "{C4069E3A-68F1-403E-B40E-20066696354B}" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 14:42:43 Verweigert value "ITBar7Layout" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 14:56:54 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:56:57 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:04 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:06 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:09 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:12 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:14 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:21 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:23 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:29 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:38 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:44 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:48 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:54 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:57 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:57:59 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:01 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:04 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:13 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:19 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:21 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:24 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:26 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 14:58:35 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:00:56 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:01:04 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:01:53 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:01:57 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:02:20 Verweigert value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:02:38 Erlaubt value "{02BED220-FBC7-4392-93A2-3A50B056F78E}" (new data: "") gelöscht in ActiveX Distribution Unit!
05.09.2006 15:28:27 Verweigert value "{C4069E3A-68F1-403E-B40E-20066696354B}" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:28:30 Verweigert value "ITBar7Layout" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:28:56 Verweigert value "{C4069E3A-68F1-403E-B40E-20066696354B}" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:28:59 Verweigert value "ITBar7Layout" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:29:46 Verweigert value "{C4069E3A-68F1-403E-B40E-20066696354B}" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:29:48 Verweigert value "ITBar7Layout" (new data: "") hinzugefügt in User-specific browser toolbar!
05.09.2006 15:31:46 Verweigert value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "") gelöscht in Global browser toolbar!
05.09.2006 15:31:50 Verweigert value "{02478D38-C3F9-4EFB-9B51-7695ECA05670}" (new data: "") gelöscht in Browser Helper Object!
05.09.2006 15:31:53 Verweigert value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "") gelöscht in Global browser toolbar!
05.09.2006 15:31:54 Verweigert value "{02478D38-C3F9-4EFB-9B51-7695ECA05670}" (new data: "") gelöscht in Browser Helper Object!
05.09.2006 15:31:57 Verweigert value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "") gelöscht in Global browser toolbar!
05.09.2006 15:31:58 Verweigert value "{02478D38-C3F9-4EFB-9B51-7695ECA05670}" (new data: "") gelöscht in Browser Helper Object!

Karin1961 05.09.2006 20:15
Ja, habe ich deinstalliert. Allerdings waren bei der Suche in den Dateien noch einige Bruchstücke vorhanden. Habe Sie manuell gelöscht ( Hoffe ich )

ordell1234 05.09.2006 20:59
Nachdem du McAfee vollständig entfernt hast (siehe #44, säubere auch mit ccleaner, edit: ein erneuter scan mit escan ist nicht notwendig), starte Spybot SD>Werkzeuge>Bericht anzeigen>alte berichte löschen>Haken bei resident setzen und löschen.

Aktiviere, sofern bereits deaktiviert, die residenten Wächter wieder, insb. den Teatimer.

Gehe auf Systemsteuerung>Anzeige>Einstellungen>erweitert und setze DPI auf Normalgröße (d.h. 100% oder abhängig von deinem Bildschirm vermutlich 96 DPI). Sollte Normalgröße bereits der eingestellte Wert sein, verkleinere ihn, zB auf 75 %. Starte neu.

Beim Start wird sich der Teatimer melden. Erlaube ihm Zugriffe von Symantec, bzw Norton, verweigere den Rest und poste eine neue Kopie der Einträge unter Resident bei Spybot. Poste ein neues HJT-log.

irrlicht 05.09.2006 21:37
Hallo Karin,

Zitat:
Sollte ich allerdings für Euch zu bräsig sein
Nein bist du nicht...:bussi:
nennen wir es unerfahren....:)
Wenn du Tipps /Anleitungen/Hilfestellungen bekommst,arbeite diese ab.Sage bitte ob du es gemacht hast,es geklappt hat,was sonst passiert ist/sich geändert hat,lass möglichst eigene Ideen weg solange sie nicht mit den Tipps zusammenhängen.
Da keiner von uns vor deinem Rechner sitzt,sind wir auf genaue Infos angewiesen.
Je besser diese Infos sind,desto zielgerichteter kann dir geholfen werden....aber das hatten wir ja schon...:blabla:

ccleaner oder Clear Prog ist das gleiche....
Clear Prog gibt es hier :http://www.clearprog.de/programme/cl.../index_new.php
Alle Haken setzen die möglich sind und löschen lassen

Nur die Ruhe....alles wird gut.....:daumenhoc
Irrlicht

Karin1961 06.09.2006 14:28
So habe nun in aller Ruhe noch einmal alles von vorne gemacht.
McAfee scheint runter zu sein. Der Teatimer hat sich allerdings nicht gemeldet. Habe den Haken bei Resident gemacht. Ist nun noch etwas falsch?
Hier das aktuelle HiJack Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:21:06, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://XXXX.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxxxxxxx.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://xxxxxxx.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 1x.1xx.xxx.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

ordell1234 06.09.2006 14:59
Hi Karin,

sieht gar nicht schlecht aus. Nur ein paar Schönheitsreparaturen.

Gehe auf Start>Systemsteuerung>Netzwerkverbindungen>suche die aktivierte Netzwerkkarte>Rechtsklick>Eigenschaften>Internetprotokoll TCP/IP>Netzwerkadresse automatisch beziehen anklicken

bei "folgende DNS-Serveradresse verwenden" gibst du
192.168.178.1 ein.

Melde dich als Benutzer bei XP ab (Ausschalten nicht notwendig), melde dich wieder an, öffne den IE und lege über Menü Extras>Internetoptionen eine Startseite deiner Wahl fest.

Wenn du soweit bist und Internet und IE funktionieren, melde dich wieder. Sollte etwas was nicht funktionieren, sage bitte, was genau du gemacht hast und welche Fehlermeldung erscheint.

Dass sich der Teatimer nicht meldet, ist in Ordnung.

Gruß

Karin1961 06.09.2006 15:25
Hi!
Habe fertig! Läuft alles! Hat etwas länger gedauert, da ich mit Premiere telefonieren mußte.

ordell1234 06.09.2006 15:32
Finale

Öffne die Seite Kaspersky mit dem IE. Klicke auf Online-scan.

(Falls du eine ActiveX-Fehlermeldung erhältst, schau, ob Norten ActiveX blockiert (ich kenne das Programm nicht näher).
Falls Norton diesbezüglich nichts blockiert und du dennoch die Fehlermeldung erhältst, füge http:\\www.kaspersky.com/de/virusscanner zu den vertrauenswürdigen Seiten im IE hinzu.
(Menü Extras>Internetoptionen>Sicherheit>vertrauenswürdige Sites>Sites>o.g. Seite in das leere Feld eintragen, Haken bei https rausnehmen und hinzufügen klicken. Webseite aktualisieren))

Lade die Installationsdateien von Kaspersky. Sollte Norton meckern, erlaube die Aktionen. Deaktiviere Norton für die Zeit des Scans, es kann sein, dass sich beide Programme beißen.
Im nächsten erscheinenden Fenster von Kaspersky gehe zuerst auf Scaneinstellungen, wähle die erweiterten Datenbanken.
Untersuche erst dann den Arbeitsplatz und poste den Bericht. Es kann sein, dass dir die Frage gestellt wird, ob du ein log-file speichern möchtest. Sollte die Frage kommen, antworte natürlich mit ja.
Ich weiß nicht, wie groß die logdatei ist, und ob sie ins Board paßt (mein letzter scan is ne Weile her). Falls sie zu groß ist, schick mir ne PN.

Karin1961 06.09.2006 17:11
So der online Scan ist auch durch


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 6. September 2006 18:07:02
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 6/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 221307
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 72256
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:06:54

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Symantec\PendingAlertsQueue.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\07FB382D-AA75-4683-82F4-EAB265A275CB.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPAppActivity.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPHomePageActivity.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMNot.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMReg.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\Savrt\0957NAV~.TMP Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1DCDA187-E26B-4D5D-99E7-B24DF3521CD1}\RP1\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

ordell1234 06.09.2006 17:30
:aplaus: und wir sind auch durch.

Du kannst die Systemwiederherstellung wieder aktivieren, sofern noch nicht geschehen.

Folgender Hinweis: Anlaß dieses "Mammut-threads" waren zwei Trojaner in dem Quarantäne-Ordner. Verlaß dich beim surfen im Netz nicht auf Norton oder McAfee oder auf sonst eine Sicherheitssoftware, auch wenn die Hersteller gern anderes Zeug erzählen. Sie kann dich - wenn überhaupt - nur bedingt schützen. Entscheidend bleibt, was du anklickst und runterlädst. Landen die Dinger in dem Quarantäneordner, liegt das Problem bereits früher und zu 99% beim Nutzer. Weiterführend und gut verständlich ist der Artikel "Kompromittierung unvermeidbar?".

Sollte ein Problem auftauchen, erstelle bitte einen neuen Beitrag mit genauer Problemschilderung.

Gruß ordell (auch an die Kleine :D)

Karin1961 06.09.2006 17:35
Tausend Dank für die tolle Hilfe!!!! Hätte es nie ( wirklich nie) ohne diese ruhige Anleitung geschafft. War mir auch nicht klar, wieviele Scans nötig sind, um einmal so ein Problem zu beheben. Bevor ich nun etwas runterlade, werde ich besser fragen. Also nochmals tausend Dank.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131