Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!
 

Hallo meine POTENZIELLEN Helfer!Ich habe ein unbekanntes Benutzerkonto S-1-5-21,das ich nur im abgesicherten Modus als Administrator sehe.Es hat alle Berechtigungen und AUCH spezielle Berechtigungen!Wenn ich es löschen will heißt es,vererbte Berechtigungen müssen deaktiviert werden,mach ich das verschwinden alle und ich geh wieder auf ABBRECHEN.Ich benutze Kaspersky 2009,Spybot,AdAdware,alle möglichen Onlinescanner!SIE AHNEN NICHT MAL ETWAS!Bis auf immer mal wieder hier und da was.(ICH WERDE DIESEN RECHNER CLEAN KRIEGEN,ICH FÜHL MICH UNWOHL MIT DEN GANZEN SCHEISS VIREN!)Ich kämpfe mit TrojanWin32.SKintrim.gen!D SEIT WOOOOCHEN! UND scheinbar versteckt sich da noch mehr bei mir!Nur windows-life-one-care-safety-Scanner findet den Übeltäter!!!!!kann ihn übrigens nicht entfernen.
LETZTER STAND:
Heute Malewarebyte erfolgreich 11 Infizierungen gelöscht
Danach verdächtige Datei gmsoi.exe und mgqaq.exe in Virustotal hochgeladen
-> Diese mit 2. Logfile anbei
-> Zuvor mein Highjackthis Logfile mit der BITTE UM HILFE und der FRAGE, ob ich dieses COMBOFIX benutzen muss.Klingt im übrigen wie ein richtig gutes starkes Putzmittel!

Dieses hier habe ich mehrmals mit Highjack this gefixt, kommt immer wieder.
(Soll ich ICQ deinstallieren?)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190

jetzt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:09, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\Sandbox\***\DefaultBox\drive\C\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKCU\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5390ED-C600-4D4D-9105-8BB94C45E0D0}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8719 bytes





und


von Virustotal:


AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.05 Adware.NaviPromo.Gen.2
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.05 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 Adware.NaviPromo.Gen.2
Ikarus T3.1.1.34.0 2008.10.05 Trojan.Win32.Skintrim.D
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 Trojan:Win32/Skintrim.gen!D
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.05 Suspicious
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 Ad-Spyware.LooksLike.NaviPromo
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.05 -
weitere Informationen
File size: 294912 bytes
MD5...: 553e627929f9cce03a74358d9ea59084
SHA1..: 4a14b30e59133551a27cb720f1ab9bb4ebd45663
SHA256: 1ec5c5066259617f9c3ed04f54e2913c42bc024575398e5f29ad21e4280713b6
SHA512: 4812ffa3a49d3cb13b63069c9bfc2559db3d7e523da6ef053d800d4176b339ee
4d281254ad01543d60b5898f2521a668d404c104b026ee5310c942fab6b762f2
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43b2c3
timedatestamp.....: 0x46fffa0e (Sun Sep 30 19:33:34 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a45c 0x3b000 7.35 0cf344dc726044cbee01de984b5929ab
.rdata 0x3c000 0x13a4 0x2000 3.98 9a5c318d86cba8d8bbe75527e06a9276
.data 0x3e000 0x951c 0xa000 4.10 84e0ed25ce5107f6ee9b864c19d0d6ae

( 10 imports )
> KERNEL32.dll: FreeLibraryAndExitThread, GetSystemInfo, SetFileAttributesA, lstrcpynA, LocalSize, ReleaseSemaphore, MoveFileW, GetBinaryTypeA, DeleteCriticalSection, GetSystemDirectoryW, OpenFile, GetCommandLineW, RaiseException, GetProcessTimes, GetPrivateProfileStringW, GetDriveTypeW, ReadConsoleOutputA, GlobalAddAtomA, SetupComm, SetThreadAffinityMask, CreateMutexA, CopyFileExW, GetEnvironmentStringsW, SetConsoleWindowInfo, FindFirstFileExW, GetSystemTimeAsFileTime, DebugBreak, FormatMessageA, ConnectNamedPipe, GetSystemTime, ReleaseMutex, GetTickCount, GetStringTypeExW, GetAtomNameA, lstrcmpA, CompareStringA, SetFileTime, PurgeComm, EndUpdateResourceA, GetSystemDefaultLangID, LocalAlloc, CreateIoCompletionPort, FindResourceExW, GetConsoleCursorInfo, FormatMessageW, SetSystemTime, GetTempPathW, WriteConsoleOutputW, GetOverlappedResult, RemoveDirectoryW, CreateEventA, GetACP, WritePrivateProfileStringA, CreateDirectoryW, GetHandleInformation, LeaveCriticalSection, GetVersionExA, VirtualProtect, GetModuleHandleA, FreeResource, SetTimeZoneInformation, GetProcessHeap, GetOEMCP, CreateMutexW, GetCurrentProcess, WritePrivateProfileStringW, EnumResourceLanguagesW, PulseEvent, GlobalUnlock, GetProfileStringA, GetStartupInfoA, WriteFile, SetConsoleOutputCP, LocalFileTimeToFileTime, GetTapeStatus, GlobalReAlloc, FillConsoleOutputCharacterA, SetProcessShutdownParameters, SetConsoleMode, lstrcmpiA, IsBadStringPtrA, GetUserDefaultLCID, VirtualAlloc
> USER32.dll: MapVirtualKeyA, OemToCharA, OpenInputDesktop, InvalidateRect, UnhookWindowsHook, DialogBoxIndirectParamA, GetDlgItemTextA, LoadImageW, WaitMessage, InvertRect, GetScrollBarInfo, SendNotifyMessageA, CreatePopupMenu, GetWindowLongW, keybd_event, GetDoubleClickTime, GetWindowThreadProcessId, TabbedTextOutW, wsprintfA, SendMessageA, EnumDisplaySettingsW, GetMenuState, ChangeClipboardChain, SetWindowWord, MapWindowPoints, GetKeyboardType, GetClassNameW, CloseWindowStation, GetSystemMetrics
> GDI32.dll: GetCharWidthA, GetDCOrgEx, GetTextExtentExPointW, DeleteDC, EnumMetaFile, GetLayout, SetTextCharacterExtra, GetFontLanguageInfo, ExcludeClipRect, UpdateColors, CreateICA, StartPage, SetWindowExtEx, PolylineTo, TextOutA, EndPage, CreateDiscardableBitmap, ExtTextOutA, CreateDIBitmap
> comdlg32.dll: GetOpenFileNameW, ReplaceTextW, CommDlgExtendedError
> SHELL32.dll: SHGetSpecialFolderPathW, Shell_NotifyIconA, SHFileOperationA, DragAcceptFiles
> ole32.dll: CoReleaseMarshalData, MkParseDisplayName, OleFlushClipboard, StgSetTimes, CoInitializeEx, OleGetIconOfClass, CoUninitialize
> OLEAUT32.dll: -, -, -, -
> COMCTL32.dll: ImageList_Create, ImageList_GetBkColor
> SHLWAPI.dll: PathStripPathW, StrCatBuffW, PathUndecorateW, SHOpenRegStream2W, AssocCreate, PathGetArgsW, SHRegQueryUSValueW, PathIsRootA, SHCopyKeyW, SHCreateStreamOnFileW, SHRegWriteUSValueW, PathRemoveBlanksA, SHSetValueA
> MSVCRT.dll: _except_handler3, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _initterm, _controlfp

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0EB1C09200A8384C803404E8425F4D0007F1C524

Ich hoffe, dass ich diesmal Hilfe kriege,nachdem meine erste und einzige Antwort, die ich hier gekriegt habe, eine Warnung vom Moderator war. ha ha

Danke im VORAUS. eelaa

Hi,

hast du den Eintrag mal im abgesicherten Modus gefixt, bzw hast du mal den TeaTimer von Spybot deaktiviert und den Eintrag gefixt? KOmmt der Eintrag trotzdem noch wieder?
Lass uns erstmal klein anfangen, man muss ja nicht gleich mit spatzen auf Kanonen schießen. ;)

Poste bitte noch das Log von Malwarebytes hier.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Zu deinem Benutzerproblem, würd ich dir google empfehlen:
Überbleibsel alter Nutzer, Überbleibsel nach Neuaufsetzem, Löschen von Usern, Benutzer S-1-2-3--- unter Sicherheit.
(Schlagwörter waren benutzer und S-1-5-21)
lg myrtille

Hi,

mit Sandbox kenn ich mich gar nicht aus und die einzige Seite mit Informationen zu dem Thema ist auf italienisch. :balla:
Wenn ich diese allerdings richtig verstehe (und Firefox bestätigt das soweit) dann handelt es sich bei urlclassifier3.sqlite um eine Datei in der Firefox 3 schadhafte Webseiten speichert um dich vor deren Angriffen zu schützen.
In dem Fall solltest du wohl das Migrationslimit hochsetzen.

Lass bitte noch die Option 2 von Navilog durchlaufen und poste das Log anschließend hier.

Den icqlite-eintrag seh ich derzeit nicht? Ist der noch da?

lg myrtille

Liebe Myrtille! Danke für Deine Antwort.

Hier der Navilog-Bericht:

Navipromo Removal version 3.6.6 started on 07.10.2008 at 17:59:28,96

Fix running from C:\Programme\navilog1
Actual User Account : "***"

Updated on 29.09.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *



* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *


mgqaq.exe found !
Copy mgqaq.exe done !
mgqaq.exe deleted !

mgqaq.dat found !
Copy mgqaq.dat done !
mgqaq.dat deleted !

mgqaq_nav.dat found !
Copy mgqaq_nav.dat done !
mgqaq_nav.dat deleted !

mgqaq_navps.dat found !
Copy mgqaq_navps.dat done !
mgqaq_navps.dat deleted !


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\***~1.SAR\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\***\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\versuch\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***~1.SAR\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\versuch\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***~1.SAR\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\***_2\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\versuch\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\***~1.SAR\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\***\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\versuch\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *


gmsoi.exe found !
Copy gmsoi.exe done !
gmsoi.exe deleted !

gmsoi.dat found !
Copy gmsoi.dat done !
gmsoi.dat deleted !

gmsoi_nav.dat found !
Copy gmsoi_nav.dat done !
gmsoi_nav.dat deleted !

gmsoi_navps.dat found !
Copy gmsoi_navps.dat done !
gmsoi_navps.dat deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


* In "C:\DOKUME~1\***~1.SAR\lokale~1\anwend~1" *


* In "C:\DOKUME~1\***\lokale~1\anwend~1" *


* In "C:\DOKUME~1\***\lokale~1\anwend~1" *


* In "C:\DOKUME~1\versuch\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 07.10.2008 at 18:08:58,85 ***


und anbei schick ich Dir Info´s zu sandboxie, finde ich persönlich ´ne super Erfindung, ich fühl mich mit dem Ding total sicher:

Die Sandboxie:
Dieses ist ein kleines und für Privatanwender kostenloses Programm, mit dem ein „virtueller PC“ (Sandkasten) simuliert wird! Wenn mit der Sandboxie im Internet gesurft wird, kann man nicht von Schädlingen von den Internetseiten infiziert werden! Daher kann die Sandboxie die Sicherheit im Internet gut erhöhen! Besonders die PC Nutzer, die mit Administartor-Rechten surfen, sind mit der Sandboxie sehr gut beraten!

Nutzer von Windows Vista, die den Internet Explorer im geschützten Modus benutzen, benötigen nicht die Sandboxie, da der geschützte Modus genau die gleiche Funktion wie die Sandboxie hat! Und für den Firefox ist in der Version 3 ebenfalls eine integrierte Sandboxie geplant!

Auch kann man mit Hilfe der Sandboxie Programme und Spiele installieren, um sie zu testen, ohne das diese wirklich installiert werden! Damit bleibt das System frei von Registrie Einträgen usw. Es funktioniert zwar nicht bei allen Programm, jedoch bei den meisten schon!
Die Sandboxie wird übrigens permanent weiter entwickelt, und alle paar Monate erscheint eine neue verbesserte Version, daher lohnt es sich hin und wieder auf der Herstellerseite nachzuschauen!

Ob ein Programm gerade mit der Sandbox verwendet wird, oder nicht, erkennt man immer daran, dass oben in der Statusleiste der Text mit zwei Rauten markiert wird, z.B. sieht das dann so aus: [#] Internet Explorer [#]


Tipps ab der Version 3.20:
1) Mit der Sandboxie im Internet Explorer Heruntergeladene Dateien landen ja normal erstmal nur in der Sandbox! Wenn Ihr eine Datei aber innerhalb der Sandboxie auf dem Desktop speichert, erscheint nach dem Download automatisch ein Dialogfenster, in welchem Ihr diese Datei in jedem beliebigen Ordner auf der wirklichen Festplatte exportieren könnt!
2) Um ein Programm oder eine Installations-Datei innerhalb der Sandbox zu starten, klickt diese Datei einfach statt per Doppelklick, mit der rechten Maustaste an und klickt dann auf Run Sandboxed! Auch der Windows Explorer lässt sich so innerhalb der Sandbox starten!


Auch nach den 30 Tagen bleibt die Sandboxie offiziell Freeware, es erscheint nur eine Infobox mit der „Bitte“, es doch zu registrieren! Dieses Programm darf aber auch weiterhin beliebig lange kostenfrei (privat) genutzt werden!

Weitere Infos findet Ihr hier:
Http://virus-protect.org/artikel/tools/sandboxie.html

Download der Sandboxie:
Http://www.sandboxie.com/index.php?DownloadSandboxie

zum icqlite-eintrag: Der ist noch da, aber ich werde jetzt nochmal versuchen, Systemherstellung zu deaktivieren und dann nochmal fixen und neu starten.

Liebe Grüße an meine Super-Cleanerin von eelaa

Hi,

ich weiß was Sandboxie tut ;) Ich habe nur selber damit nie gearbeitet und kann daher auch keine Erfahrungen aus eigener Hand bieten. Die Antworten, die ich gegeben habe, habe ich bie anderen Kollegen gefunden. (Ich geb keine Tipps, von denen ich nicht weiß welche Auswirkungen sie haben könnten. ;) Ich hab mich vorher schon informiert ;) )

Deinstalliere Navilog bitte über Start->Systemsteuerung->Software.

Poste bitte noch ein neues Hijackthislog. (wenn möglich eins, in dem der Eintrag noch auftaucht ;) )

Ansonsten kannst du mal versuchen, den Eintrag manuell zu entfernen: Internet Explorer aufrufen, dort unter Extras die Internetoptionen auswählen. Da auf Verbindungen gehen.
Lan-Einstellungen auswählen und dort den Haken bei "Proxyserver für Lan verwenden" rausnehmen.

lg myrtille

Hi,

na schick dass ich dir helfen konnte! :D Deinstallier bitte noch Navilog über Start->Systemsteuerung->Software

Das Log ist toll! :D Besuche vielleicht noch Secunia und überprüfe ob deine Software aktuell ist. (Dazu wird Java benötigt) Auch wenn man im Log nicht direkt veraltete Software erkennen kann.

Frauen sind eh die besseren Computerversteher ;)

lg kathrin

Liebe Kathrin!

icqlite.exe ist leider wieder da.... was kann ich noch probieren, sorry, dass ich so nerve.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:53, on 07.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\Sandbox\***\DefaultBox\drive\C\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Sandboxie\SandboxieWUAU.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Sandboxie\SandboxieBITS.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase5036.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5390ED-C600-4D4D-9105-8BB94C45E0D0}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8836 bytes

Hast du mal in den Internet Explorer Optionen geschaut, wie ich im vorletzten Post erklärt hatte:
Ist das Programm icqlite bei dir installiert? Bruachst du es? Was passiert wenn du es deinstallierst?


lg myrtille

Im Internet-Explorer war Proxy-Lan garnicht aktiviert und in Mozilla gibt es sowas nicht ( hatte Dir das schon geschrieben, wurde aber verwarnt wegen nicht editiertem Link) habe icq lite schon vor wochen rausgeschmissen, habe jetzt nur noch ICQ 6. Aber vielleicht versteckt sich irgendwo noch ein Treiber meiber was auch immer?

Hi,

der TeaTimer scheint immernoch aktiv. Hast du diesen deaktiviert, bevor du den Eintrag gefixt hast?
(Der Eintrag ist Internet Explorer spezifisch)

lg myrtille

Ok jetzt hat´s geklappt, hatte den Tea Timer nicht richtig deaktiviert (hatte nur auf Exit geklickt) Jetzt ist er weg. Nochmals danke, heute kann ich ruhig schlafen. Alles sauber, gutes Gefühl. Mach´s gut liebe Kathrin, Du bist ein echter ENGEL!

Hi,

nur schnell als Erklärung:

Der TeaTimer überwacht die Registry und verhindert Veränderungen, die er für schädlich hält.
Auf einem sauberen System mag er daher tatsächlich von Nutzen sein, auf einem infizierten System beobachtet man aber häufig, dass was wir hier auch gesehen haben:
TeaTimer versucht, in dem Gedanken den zuletzt bekannten Zustand wieder herzustellen, alle entfernten Einträge wieder zu erstellen.
So kommen alle Einträge wieder, egal wie häufig man diese entfernt.
(Es waren also keine übernatürlichen Kräfte im Spiel. ;) )
lg myrtille

Liebe Myrtille!

Also ich habs jetzt mehrmals ausprobiert. Der icqlite.exe-Eintrag kommt immer wieder, sobald ich ins Internet reingehe. Teatimer ist dauerhaft deaktiviert (unter Resident das Häkchen raus - ist doch richtig oder?) Bevor ich nicht verbunden bin, ist es nicht da, aber sobald ich reingehe, ist es wieder da! Auch Proxy- Lan im Explorer ist nicht aktiviert. Im abgesicherten Modus ist das Ding überhaupt nie zu sehen. Da gibt es noch eine MErkwürdigkeit, die evtl. damit zu tun hat. Wenn ich nach Neustart auf Netzwerkverbindungen - Internet - Eigenschaften - Sicherheit gehe, dann ist immer `Erweitert (benutzerdefinierte Einstellungen)`aktiviert, ich stelle um auf `Typisch (empfohlene Einstellung) und nach Neustart ist es jedesmal wieder auf `benutzerdefiniert. Hatte gedacht, wenn ich die Trojaner los bin, was jetzt durch Navilog wohl der Fall ist, dann wäre dieses Problem beseitigt, ist es aber nicht. Wenn ich das Ding mal wieder gefixt habe, dann probier ich nochmal zu scannen, 1 x geht es dann noch und bei weiteren Versuchen heißt es "Highjackthis is already running" Also er ist dann mit irgendwas beschäftigt und ich kann Highjack erst nach Neustart wieder benutzen.Ich will Dir nicht auf den Zeiger gehen mit dem ganzen Mist. Ich will auch nicht aufdringlich sein, aber Du findest bestimmt eine Lösung.... danke im voraus !!!
Liebe Grüße von eelaa

Hi,

mit dem Virus dürfte das eigentlich nichts zu tun haben. Der macht sowas meines Wissens nicht.

Dann lass uns mal noch alles genauer kontrollieren, mach bitte folgende Scans, um zu sehen, was auf deinem Rechner ist:

Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.
---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren
=> Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK
=> Link "Arbeitsplatz" anklicken => Scan beginnt automatisch
=> Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern
=> Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

Liebe Myrtille: hier ist alles drin,was ich hinkriegen konnte, bin gespannt auf Deine Antwort


http://www.file-upload.net/download-1174287/Antwort-Myrtille.txt.html



http://www.file-upload.net/delete-1174287/mlhnl8.html

Hi,

in den Einträgen ist nichts zu sehen, was auf Malware hindeutet.

Hast du mal versucht den Eintrag im abgesicherten Modus zu löschen? Ich kann dir ehrlich gesagt nicht sagen, woher der Eintrag immer wieder kommt.

lg myrtille

Liebe Myrtille,

im abgesicherten Modus ist der Eintrag ja garnicht da!

Noch 2 allerletzte Fragen:

Diese ganzen Sachen, die Catchme (62 hidden files) und RootkitRevealer (69 hidden files) gefunden haben, diese Messenger-Sachen usw. sind ok?

Vielleicht gewöhne ich mir einfach an, den Eintrag icqlite.exe bei jedem Start immer wieder zu löschen. Wäre das eine Alternative?

Danke im voraus, eelaa

Hi,

ja das ist ok, solang die Programme gelaufen sind, während des Scans. Die Einträge im Hijackthislog deuten jedenfalls darauf hin.

Wenn die Einträge immer wieder kommen, dann heißt das entweder, dass du ein Programm hast, dass die Einträge immer wieder neu einträgt oder dass ein Programm die Einträge immer wieder erstellt.
Wenn du wrklich all deine Antivrensoftware während des fixens deaktiviert hast, bleibt eigentlich nur noch die erste Möglichkeit. Es könnte eventuell icq6 sein, aber ich finde da keinerlei informationen zu und kann dir daher nicht wirklich helfen. :(

lg myrtille

MSN Messenger ist nicht gelaufen, als Catchme gescannt hat. Trotzdem waren alle Messenger-Kontakte aufgelistet. Ist mein MSN Messenger verseucht?

Ich habe Gmer nochmal durchlaufen lassen, weil ich Kaspersy noch anhatte beim ersten Mal, vielleicht könntest Du nur hier kurz nochmal reinschauen:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-11 19:42:44
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xED9E081A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xED9E0DC6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xED9E282A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xED9E21E0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xED9DFF90]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xED9E418C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xED9E0BC2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xED9E03D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xED9E05D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xED9E24EC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xED9E4698]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xED9E06E8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xED9E0750]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xED9E23A2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xED9E3C50]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xED9E203C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xED9E00F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xED9E09E8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xED9E41B6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xED9E093E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xED9E07B8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xED9E04BC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xED9E029A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xED9E3EB8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xED9DFC12]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xED9E30B4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xED9DFD74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xED9E4568]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xED9DFA10]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xED9E26CC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xED9E0CC0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xED9E3D4A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xED9E41E0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xED9E0148]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xED9E42C4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xED9E43F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xED9E3B7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xED9E0A92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xED9E0B04]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9F90 5 Bytes JMP ED9F701C \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE86E 5 Bytes JMP ED9F73D6 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2758 80501F80 12 Bytes [ C4, 42, 9E, ED, F0, 43, 9E, ... ]
.text win32k.sys!EngCreateBitmap + D9AD BF845875 5 Bytes JMP 84DF3610

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] 84E0FDF0
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] 84E0FDF0

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \FileSystem\Fastfat \Fat BAFE3D20

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Threads - GMER 1.0.14 ----

Thread 4:320 84E4B6F0
Thread 4:324 84E4B6F0
Thread 4:328 84E1CEB0
Thread 4:332 84E1CEB0
Thread 4:336 84E1CEB0

---- EOF - GMER 1.0.14 ----

Liebe Grüsse, eelaa

Hi,

was man sieht sind Einträge von Kaspersky und Starforce. Auch wenn Kaspersky aus ist, hat es seine Einträge dennoch geschützt um sich vor eventuellen Übergriffen zu schützen.

lg myrtille

Liebe Myrtille,

bezüglich des icqlite-eintrags hätte ich noch eine Idee: Da der Eintrag tatsächlich nur erscheint, wenn ich eine Internetverbindung habe, er aber im abgesicherten Modus nicht zu sehen ist, müsste ich im abgesicherten Modus eine Internetverbindung herstellen und dann fixen. Nur das Problem ist, dass wohl Kaspersky im abgesicherten Modus nicht aktiv schützt, glaube ich. Kannst Du mir dazu was sagen?

Liebe Grüße von eelaa

Hi,

versuchen wir lieber was anderes:

Anstatt rumzuraten, können wir nachschauen welches Programm den Schlüssel bearbeitet:

• lade dir ProcessMonitor herunter.
• Entpacke das Programm ProcMon.exe in einen Ordner deiner Wahl (etwa C:\Programme\ProcessMonitor)
• Die NUB annehmen und das Programm starten (vorher mit Hijackthis den Eintrag icqlite löschen)
• Rufe dann unter Tools die Filter auf.
• Setze folgenden Filter:
  
  Code:

  ---

  Path contains HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings then include

  ---

• Provoziere das erscheinen des Proxyeintrags
• Nachdem der gesuchte Eintrag erscheint auf File und auf Save gehen. Dort unter Format den Haken bei Comma-separated value setzen und die Datei abspeichern.
• Den Inhalt der Datei dann hier posten

lg myrtille

Liebe Myrtille,

danke für Deine Antwort, wenn ich das Erscheinen des Proxy-Eintrags provozieren muss, dann muss ich neu starten, kann ich das zwischendurch in dem Programm?

lg eelaa

Hi,

lad das programm runter, starte neu und führe das programm dann auf dem gefixten rechner aus.

Du musst nur während des herunterladen des programms online sein :D

lg myrtille

LIebe Myrtille,

ich hab´s endlich hinbekommen, es ist riesengroß und angsteinflößend.



http://www.file-upload.net/download-1180822/Prozess-MonitorLogfile.CSV.html


http://www.file-upload.net/delete-1180822/w4mh4.html


bin gespannt auf Deine Antwort

lg,eelaa

Hi,

bist du sicher, dass du "include" gewählt hast um den Filter zu setzen? Der Eintrag zu den Internet Settings ist in dem Log nicht zu finden.

lg myrtille

Hallo liebe Myrtille,

nein ich bin nicht sicher,weil ich ziemlich dämlich bin. Aber jetzt hab ich´s glaub ich:

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"
"09:43:59,5223086","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5223651","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5224472","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5224735","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5224911","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5225198","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5225536","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5225788","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5225916","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5226204","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5226550","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5226794","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5226919","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5229478","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5229830","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5230084","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5230216","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5230498","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5230836","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5272618","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5272942","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5273475","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:43:59,5273830","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:43:59,5274082","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:43:59,5776872","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS","Desired Access: Read"
"09:43:59,5777389","Explorer.EXE","2176","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\DaysToKeep","SUCCESS","Type: REG_DWORD, Length: 4, Data: 20"
"09:43:59,5778067","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS",""
"09:45:00,2610056","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS","Desired Access: Read"
"09:45:00,2610397","Explorer.EXE","2176","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\DaysToKeep","SUCCESS","Type: REG_DWORD, Length: 4, Data: 20"
"09:45:00,2610950","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS",""
"09:45:30,2953181","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS","Desired Access: Read"
"09:45:30,2953546","Explorer.EXE","2176","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\DaysToKeep","SUCCESS","Type: REG_DWORD, Length: 4, Data: 20"
"09:45:30,2954139","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS",""
"09:45:49,7966558","firefox.exe","3272","RegOpenKey","HKCU\software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS","Desired Access: Read"
"09:45:49,7967192","firefox.exe","3272","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","BUFFER OVERFLOW","Query: Basic, Length: 24"
"09:45:49,7967374","firefox.exe","3272","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","BUFFER OVERFLOW","Query: Basic, Length: 24"
"09:45:49,7967678","firefox.exe","3272","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS",""
"09:46:03,1494417","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1494777","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1495135","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:46:03,1495389","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:46:03,1495532","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1495808","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1496152","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:46:03,1496389","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:46:03,1496518","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1496800","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1497124","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:46:03,1497364","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:46:03,1497487","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1497769","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1498096","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:46:03,1512506","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:46:03,1512760","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1513190","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS","Desired Access: Query Value, Set Value, Create Sub Key, Enumerate Sub Keys"
"09:46:03,1515361","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache","SUCCESS",""
"09:46:03,1515615","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache","SUCCESS",""
"09:46:03,1738437","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS","Desired Access: Read"
"09:46:03,1738979","Explorer.EXE","2176","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\DaysToKeep","SUCCESS","Type: REG_DWORD, Length: 4, Data: 20"
"09:46:03,1740188","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS",""
"09:46:42,4991454","Explorer.EXE","2176","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS","Desired Access: Read"
"09:46:42,4991797","Explorer.EXE","2176","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\DaysToKeep","SUCCESS","Type: REG_DWORD, Length: 4, Data: 20"
"09:46:42,4992350","Explorer.EXE","2176","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Url History","SUCCESS",""

und sowas hier auch:

"09:50:13,9182807","Start.exe","2756","RegOpenKey","HKCU\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Desired Access: Read"
"09:50:13,9183478","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9183679","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Name"
"09:50:13,9184215","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Cached, SubKeys: 77, Values: 1"
"09:50:13,9184662","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9184878","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Name"
"09:50:13,9185121","Start.exe","2756","RegEnumKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Index: 0, Name: Range1"
"09:50:13,9185392","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9185590","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Name"
"09:50:13,9193845","Start.exe","2756","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1","SUCCESS","Desired Access: Read"
"09:50:13,9194465","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9194678","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1","SUCCESS","Query: Name"
"09:50:13,9195234","Start.exe","2756","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\:Range","SUCCESS","Type: REG_SZ, Length: 30, Data: 85.255.117.243"
"09:50:13,9197446","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9197664","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Name"
"09:50:13,9198220","Start.exe","2756","RegEnumKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Index: 1, Name: Range10"
"09:50:13,9198547","Start.exe","2756","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1","SUCCESS",""
"09:50:13,9198826","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","BUFFER OVERFLOW","Query: Name, Length: 256"
"09:50:13,9199351","Start.exe","2756","RegQueryKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges","SUCCESS","Query: Name"


lg,eelaa

Hi,

das ist erstaunlich. :eek: Der Eintrag mit dem Proxyserver ist in der Zeit, in der du das aufgenommen hast erschienen?

lg myrtille

Liebe Myrtille,


Was heißt das jetzt?

lg,eelaa

Hi,

ich bin verwundert, auf den Eintrag für den Proxy wurde scheinbar nicht zugegriffen.
Daher frag ich ob dieser verändert wurde, eigentlich sollte jeglicher Zugriff auf den Eintrag dokumentiert werden.

lg myrtille

Liebe myrtille:

Ich hab nochmal Rootkit-Detektive laufen lassen und da kam das hier raus:


McAfee(R) Rootkit Detective 1.1 scan report
On 15-10-2008 at 22:07:18
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeviceIoControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFlushKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFsControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueueApcThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwResumeThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetContextThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwSuspendProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSuspendThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwUnloadKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2696
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: aawservice.exe
Pid: 1084
Object-Path: C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 1272
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: atiptaxx.exe
Pid: 2636
Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Status: Visible

Object-Type: Process
Object-Name: odClientService
Pid: 1024
Object-Path: C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 376
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 780
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1156
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 196
Object-Path: C:\Dokumente und Einstellungen\***\Desktop\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SbieSvc.exe
Pid: 1344
Object-Path: C:\Programme\Sandboxie\SbieSvc.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 820
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1472
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SbieCtrl.exe
Pid: 232
Object-Path: C:\Programme\Sandboxie\SbieCtrl.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 512
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 2592
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: UMTS USB Modem
Pid: 3832
Object-Path: C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1012
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1260
Object-Path: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 2380
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1296
Object-Path: C:\Programme\Bonjour\mDNSResponder.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 1824
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: RTHDCPL.EXE
Pid: 2600
Object-Path: C:\WINDOWS\RTHDCPL.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 864
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 2260
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 524
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 680
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Scan complete. No hidden processes/files found.
Total files scanned: 25242
Scanning did not complete due to the user interruption.
McAfee(R) Rootkit Detective 1.1 scan report
On 15-10-2008 at 22:08:07
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeviceIoControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFlushKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFsControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueueApcThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwResumeThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetContextThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwSuspendProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSuspendThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwUnloadKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2696
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: aawservice.exe
Pid: 1084
Object-Path: C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 1272
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: atiptaxx.exe
Pid: 2636
Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Status: Visible

Object-Type: Process
Object-Name: odClientService
Pid: 1024
Object-Path: C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 376
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 780
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1156
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 196
Object-Path: C:\Dokumente und Einstellungen\***\Desktop\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SbieSvc.exe
Pid: 1344
Object-Path: C:\Programme\Sandboxie\SbieSvc.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 820
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1472
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SbieCtrl.exe
Pid: 232
Object-Path: C:\Programme\Sandboxie\SbieCtrl.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 512
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 2592
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: UMTS USB Modem
Pid: 3832
Object-Path: C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1012
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1260
Object-Path: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 2380
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1296
Object-Path: C:\Programme\Bonjour\mDNSResponder.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 1824
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: RTHDCPL.EXE
Pid: 2600
Object-Path: C:\WINDOWS\RTHDCPL.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 864
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 2260
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 524
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 680
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Scan complete. Hidden registry keys/values: 1
-------------------------------------------------------------

DIESER HIER IST DER VERSEUCHTE, SAG DOCH JAA, MYRTILLE!

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch


Ich hab ihn übrigens schon zweimal gelöscht mit Rootkit Dingens, aber er kommt wieder.

Ich könnte DEN ja mal in den Prozess-Monitor packen, was denkst DU?

Das hier hatte Rootkit Revealer gefunden:

Path:
HKLM\SECURITY\Policy\Secrets\SAC*
Timestamp:
25.11.2005
Size:
0 bytes
Description:
key name contains embedded nulls

Path:
HKLM\SECURITY\Policy\Secrets\SAI*
Timestamp:
25.11.2005
Size:
0 bytes
Description:
key name contains embeddet nulls

Path:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Timestamp:
25.09.2008
Size:
19 bytes
Description:
Data mismatch between Windows API and raw hive data.


weitere neu entdeckte Sachen:


Wenn ich in Mozilla in die Suchleiste gehe - ich habe übrigens alle Toolbars deinstalliert, jedoch gebe ich einen Suchbegriff ein, springt die ICQSearch-Seite rein, diese hier (ohne `beispiel` natürlich):

h**p://search.icq.com/search/afe_results.php?ch_id=afex&q=beispiel

obwohl ich in Mozilla diese Seite komplett mit allem drum und dran geblockt habe, bleibt sie da. Ich habe überhaupt alles von ICQ rausgeschmissen.

Dieses hier ist die Beschreibung von Mozilla, wenn ich auf das ICQIcon klicke, dass sobald die Suche losgeht, erscheint.

DIESE SACHE IST MIR LEIDER ERST JETZT AUFGEFALLEN, weil ich meist mit Lesezeichen arbeite und man dann die ICQ Scheiße dann nicht sieht.

Jedenfalls das hier steht in der Beschreibung:

Website: search.icq.com
Besitzer: Diese Website bietet keine Informationen an, um ihre Identität zu bestätigen.
Validiert von: Nicht angegeben

Kompatibilitätsmodus (Quirks)
5,49 KB (5.619 Byte)
text/html; charset=UTF-8
IE=EmulateIE7
ICQ search, search engines, ICQ search engine, search engine, people search, image search, images search, definition, web search, internet search engine, web search engine, internet search, searchsite, site search, search ICQ, free search engine
The ICQ Search engine delivers great search results, enhanced by Google, with additional features to help make your search much easier.


Vielleicht bringen diese Infos etwas mehr Licht ins Dunkel. Ich hoffe es.

lg,eelaa:)

Hi,

die Einträge sind eigentlich "unbedenklich". Mit Einträgen unter
richtet man "spezifische Ordner" ein, etwa der Ordner "gemeinsame Dokumente" und ähnliche Ordner.
Soweit ich rausfinden konnte, könnte es sich bei dem von dir geposteten Wert um einen Ordner für Bilder von einer Kamera handeln.

Da während des Rootkitscans zwangsläufig noch andere Prozesse laufen, kann es durchaus sein, dass der Schlüssel in Benutzung war, was zu der Meldung führte.

Die ICQ-Suchmaschine solltest du entfernen können, indem du in Mozilla auf den Pfeil neben dem Symbol der Suchmaschine klickst, dann auf "Suchmaschinen verwalten" klickst und da ICQSearch entfernst.

Überprüfe bitte außerdem ob du noch irgendwelche Addons installiert hast, die dir unbekannt vorkommen (Unter Extras->Add-ons->Erweiterungen) oder von ICQ sind.

Fixe bitte den Eintrag mit Hijackthis und Schau ob er wieder kommt.
Ich hab auch schon ICQ verdächtigt, daher werden wir mal sehen

Poste bitte nochmal ein neues Hijackthislog (nachdem du wieder online warst. ;) ), damit ich sehen kann, wie das aktuell aussieht.

Liebe Myrtille,

ich habe noch mal mit dem Prozess-Monitor herumexperimentiert und habe den Eintrag jetzt da drin gefunden:

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"
"17:57:16,4765572","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,4766178","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5020143","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5020531","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5020878","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5021462","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5054376","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5054770","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:32,8945340","avp.exe","1556","RegCreateKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections","SUCCESS","Desired Access: Query Value"
"17:57:32,8945949","avp.exe","1556","RegOpenKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections","SUCCESS","Desired Access: Read, Maximum Allowed"
"17:57:32,8946547","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections","SUCCESS",""
"17:57:32,8946969","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","BUFFER OVERFLOW","Length: 144"
"17:57:32,8947422","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","BUFFER OVERFLOW","Length: 144"
"17:57:32,8947718","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","SUCCESS","Type: REG_BINARY, Length: 200, Data: 46 00 00 00 8F 04 00 00 09 00 00 00 10 00 00 00"
"17:57:32,8948818","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections","SUCCESS",""
"17:57:32,9749021","avp.exe","1556","RegCreateKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings","SUCCESS","Desired Access: Write"
"17:57:32,9749202","avp.exe","1556","RegOpenKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings","SUCCESS","Desired Access: Read, Maximum Allowed"
"17:57:32,9749635","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS",""
"17:57:32,9749998","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0"
"17:57:32,9750465","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"
"17:57:32,9803081","avp.exe","1556","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND",""
"17:57:32,9820521","avp.exe","1556","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND",""
"17:57:32,9821088","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS",""


Highjack-Log kommt gleich:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:59, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O4 - HKCU\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p://cdn.scan.onecare.live....scbase5036.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5390ED-C600-4D4D-9105-8BB94C45E0D0}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5842 bytes


Keine Suchmaschinen, add-ones oder sonstiges mehr drin, icqSearch ist trotzdem in Mozilla drin und war als Suchmaschine hier garnicht verzeichnet, hab es aber im InternetExplorer entfernt, Fixing im abgesicherten Modus und Systemwiederherstellungs-Deaktivierung haben nichts gebracht.

lg, eelaa

Hi,

du kannst mal eine Dateisuche nach avp.exe machen, aber das sieht sehr nach Kaspersky aus.
Ich informier mich mal, ob und welcher Schutz dafür verantwortlich sein könnte.

Ist die ICQSearch noch da, oder nicht?

Editier bitte die links in deinem Log.

lg myrtille

Hi,

versuch bitte mal Folgendes:
Arbeite bitte außerdem folgendes ab:
Lade die Datei bei file-upload hoch und poste den Link anschließend hier.

lg myrtille

Liebe Myrtille,

zwei Dateien hab ich gefunden:

AVP.EXE-00A8088A.pf im Ordner C:\WINDOWS\Prefetch

und

Kaspersky avp.exe im Ordner C:\Programme\KasperskyLab

(auch versteckte Elemente gesucht)

IcqSearch kommt nach wie vor und drängelt sich in die Suchleiste.

lg,eelaa



Ok hab grade Deine Nachrichten gesehen, mach ich alles, bis später, Du bist ein Engel, Myrtille.

Danke, lg, eelaa

Heya,

könntest du das getsysteminfo-tool bitte jetzt noch schnell ausführen und hochladen?

Danke. :)

lg myrtille

Hi Myrtille,

Hier ist das getsysteminfo:


http://www.file-upload.net/download-1185763/sysinfo.txt.html


http://www.file-upload.net/delete-1185763/hzaqff.html


(muss ich die eingentlich auch editieren?)

Und in dieser prefs.js war google schon drin, von icq nichts zu finden.


lg,eelaa

Hi,


aber ICQSearch wird trotzdem noch gezeigt für die Suche?

Kannst du mir bitte deine Einstellungen von Kaspersky mal zeigen. Eventuell mit Screenshot. Mich würden vor allem die Registrykarte interessieren. Hast du die Standardeinstellungen behalten, oder hast du etwas verändert.

lg myrtille

Hy Myrtille,

mit screenshot kenn ich mich garnicht aus. wie mach ich das?

Und wo ist die registry bei kaspersky?

lg,eelaa

Hi,

Wenn du keine Einstellungen bei Kaspersky personaliert hast, würde ich vorschlagen, dass du einen Reset machst und den proxy-Eintrag dann nochmal fixt.

Die Werkeinstellungen solltest du bekommen, indem du unter Einstellungen -> Service -> Wiederherstellen gehst und dort alles zurücksetzt.
Starte den Rechner danach neu und fixe den Eintrag mit Hijackthis.

Kommt er dann noch wieder?

lg myrtille

Hy Myrtille,

wenn ich kaspersky wiederherstelle, soll ich ALLES ankreuzen, auch unter Programmkontrolle: Programme, Regeln, Ressourcen, Netzwerke... ?

lg, eelaa

Hi,

ich würde sagen: Ja, da ich derzeit nicht weiß welche Einstellung das Problem verursacht.

lg myrtille

Liebe Myrtille,

habe Kaspersky wiederhergestellt, danach im abgesicherten Modus gefixt, neu gestartet, Prozess-Monitor gestartet.

Der Eintrag ist noch da. Diesmal hat Prozess-Monitor dieses hier angezeigt:

"20:00:02,4307554","HijackThis.exe","3216","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"

Vielleicht muss man den Highjack auch zurücksetzen? Was meinst Du?

lg,eelaa

Hi,

ist der Eintrag denn wieder da?

RegQueryValue heißt erstmal nur, dass Hijackthis der Wert liest, nicht dass er ihn ändert.
RegSetValue bedeutet, dass ein Wert gesetzt wird.

lg myrtille

Ja, Myrtille, der verschissene Eintrag ist wieder da.

lg,eelaa

Fix den Eintrag bitte mal im normalen modus, schmeiß ProcessMonitor an und geh ins Internet.
Mal sehen ob wir sehen ob es immernoch Kaspersky ist, der den Eintrag wiederherstellt.

Kann ja langsam nimmer angehen. :uglyhammer:

lg myrtille

Liebe Myrtille,


es hat lange gedauert, weil das Ding unberechenbar ist, aber hier ist es:

"22:00:13,5479684","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"

Ich könnte doch kaspersky neu installieren vielleicht...

oder?

was sagst Du

ich denk den ganzen Tag nur an dieses Zeug hier, ich bin besessen von der Idee, das Ding wegzukriegen. Ich denke den ganzen Tag über Abgesicherte Modusse und gefixte Einträge nach. Ich krieg noch ne Macke. Ich könnte es garnicht glauben, wenn er wirklich weg wäre, ich würde nachts von ihm träumen::

pukeface:

:snyper: bitte hilf mir

ich will so hier :D machen und mal wieder ´n gutes Buch lesen.

Hilf mir :(

lg,eelaa

Ich habe schon überlegt, ob ich mich mit dem guten alten Eintrag anfreunden soll, eigentlich tut mir der arme Eintrag ja garnichts. Er schleppt sich jetzt bestimmt schon total verwundet und blutig durch die Systemgegend. Ist doch eigentlich gemein, findste nich?

Auf jeden Fall ist er seltener da, das ist schonmal Fakt, ich hab ne weile nich gesehen. Also gute nacht, ich und der Eintrag machen für heute Feierabend. Der Eintrag wünscht Dir auch eine gute Nacht Myrtille, bis morgen....

lg,eelaa

Hi,

da der Eintrag von deinem Antivirenprogramm stammt kann man davon ausgehen, dass er nicht bösartig ist. Wenn du damit leben kannst ist das durchaus ok. ;)

Mir gehts so ähnlich. :D Ich will zumindest wissen WARUM der Eintrag wieder erstellt wird. :p

Kannst du mir eins empfehlen? :D

lg myrtille

Liebe Myrtille:

Auf jeden Fall hab ich zwei gute Buchtipps für Dich:

Angelika Schrobsdorff: Die Herren

Zeruya Shalev: Mann und Frau


Ich hab noch ein bißchen bei Kaspersky rumgestöbert, habe alles was mit Proxy und ICQ drin war, rausgenommen, mal sehen...


Wenn Dir noch was einfällt, lass es mich wissen

lg,eelaa:)

Hi,

Kaspersky deinstallieren wär noch ne Möglichkeit :blabla:

Ansonsten wäre da noch die Option "ignorieren" ;)

lg myrtille

Hy Myrtille,

ALSO! ICH GLAUB, ICH HAB´S GESCHAFFT.

Und zwar hab ich unter Netzwerkverbindungen meine Standardverbindung umbenannt! Die hatte sich immer auf benutzerdefiniert verstellt nach Neustart, obwohl ich es immer wieder auf Standard eingestellt hatte. Jetzt bleibt meine Einstellung auch bei Neustart bestehen. Juuhuu:huepp:

Ausserdem hatte ich ja bei Kaspersky - Proxyserver verwenden - rausgenommen.

Jetzt weiß ich nicht, wodurch ich jetzt BEFREIT bin, is auch egal, ich bin mir (fast) sicher:

ES IST WEG!!!

:party:


Ich möchte mich nochmal abschließend bedanken bei Dir, allerliebste Myrtille, und DU WIRST MIR FEHLEN, ist kein Witz.

DANKE :bussi:


lg, eelaa

(und hol Dir die Bücher, die sind tatsächlich sehr sehr gut, ich sag immer, ein gutes Buch findet man so selten, wie eine gute Beziehung)

Hi,

:aplaus: :aplaus: :aplaus:

Schön, dass das geregelt wurde.
Wenn du nicht wieder ICQ installieren willst, kannst du dir mal Multiprotokollmessenger angucken. :)
Eine sehr vollständige Liste findet man bei Wikipedia.

Du kannst hier auch gern so nochmal vorbeikommen. :D Du musst dir vorher nicht mal mehr Malware installieren. ;) (Ansonsten könnte ich dir noch 2-3 Programme empfehlen, die mit Malware daherkommen... falls du das mal installieren willst. :p )

Wir könnten ja einen Bücherthread aufmachen. :)

lg myrtille

Liebe Myrtille,

ja, ich bin doch (leider :D) wieder da, und zwar kam der Eintrag eben doch wieder, habe dann im KasperskyLabForum nochmal Hilfe gesucht und eine Sys.info mit Kaspersky gemacht, dabei fand ich eine verdächtige Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Bases\klark.kdl direkt zwischen den ganzen Kaspersky-Dateien, habe die mit Virustotal hochgeladen mit diesem Ergebnis:

AhnLab-V3 2008.10.18.0 2008.10.20 -
AntiVir 7.9.0.5 2008.10.20 -
Authentium 5.1.0.4 2008.10.20 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.20 -
CAT-QuickHeal 9.50 2008.10.20 -
ClamAV 0.93.1 2008.10.20 -
DrWeb 4.44.0.09170 2008.10.20 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6159 2008.10.20 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.20 -
Fortinet 3.113.0.0 2008.10.20 -
GData 19 2008.10.20 -
Ikarus T3.1.1.44.0 2008.10.20 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.20 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.20 -
NOD32 3538 2008.10.20 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.20 Suspicious file
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.20 -
Rising 20.67.01.00 2008.10.20 -
SecureWeb-Gateway 6.7.6 2008.10.20 Virus.Win32.FileInfector.gen!88 (suspicious)
Sophos 4.34.0 2008.10.20 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.20 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.20 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.20.1428 2008.10.20 -
VirusBuster 4.5.11.0 2008.10.20 -


Hier ist nochmal die komplette Sys-Info von Kaspersky:

http://www.file-upload.net/download-...sinfo.zip.html

http://www.file-upload.net/delete-1194424/aw4jgl.html

Was kannst Du mir raten? Der Helfer von Kaspersky hat sich bis jetzt noch nicht gemeldet, dauert mir zulange, da dachte ich an meine gute alte Myrtille...

lg, eelaa

Hi,

ich fürchte ich kann dir nicht mehr viel helfen. :D

Mein Google sagt klark sei die Rootkitengine von Kasperksy. Ich denke da brauchst du dir keine Gedanken zu machen.

Hast du denn einen Link zu deinem Thema bei Kaspersky? Würde mich auch interessieren. :D

lg myrtille

Hallo liebe Myrtille,


hier ist der Link zu meinem Kaspersky-Thema:

h**p://forum.kaspersky.com/index.php?showtopic=88605

Habe Link editiert :)


Ich hoffe, da meldet sich bald mal jemand. Die sind nich so schnell wie Du leider.

lg,eelaa

Hallo Myrtille,

ich bin nochmal da. Ich hab noch nicht aufgegeben, habe mir eScan runtergeladen. Hat ein riesen Logfile erstellt mit 15 Infizierungen und 44 Fehlern:
Hier der Anfangstext, in dem auch mein VERFOLGER icqlite.exe erscheint.

[CODE)

31 Okt 2008 12:59:36 - **********************************************************
31 Okt 2008 12:59:36 - eScan-AntiViren- und Antispywarewerkzeugsatz.
31 Okt 2008 12:59:36 - Copyright © MicroWorld Technologies
31 Okt 2008 12:59:36 - **********************************************************
31 Okt 2008 12:59:36 - Source: C:\DOKUME~1\KUBILA~1\Desktop\mwav.exe
31 Okt 2008 12:59:36 - Version 10.0.32 (C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\MEXE.COM)
31 Okt 2008 12:59:36 - Logdatei: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\MWAV.LOG
31 Okt 2008 12:59:36 - MWAV Registered: FALSE
31 Okt 2008 12:59:36 - User Account: *** (Administrator Mode)
31 Okt 2008 12:59:36 - OS Type: Windows Workstation
31 Okt 2008 12:59:36 - OS: Windows XP [OS Install Date: 30 Dec 2005 16:00:51]
31 Okt 2008 12:59:36 - Ver: Service Pack 3 (Build 2600)
31 Okt 2008 12:59:36 - System Up Time: 2 Hours, 12 Minutes, 14 Seconds


31 Okt 2008 12:59:36 - Parent Process Name : C:\Dokumente und Einstellungen\***\Desktop\mwav.exe
31 Okt 2008 12:59:36 - Windows Root Folder: C:\WINDOWS
31 Okt 2008 12:59:36 - Windows Sys32 Folder: C:\WINDOWS\system32
31 Okt 2008 12:59:36 - Interface0 NameServer: 212.23.97.2 212.23.97.3
31 Okt 2008 12:59:36 - ProxyServer: icqlite.exe:5190
31 Okt 2008 12:59:36 - ProxyOverride:
31 Okt 2008 12:59:36 - Proxy Connection: DISABLED
31 Okt 2008 12:59:36 - Local Fixed Drives: c:\
31 Okt 2008 12:59:36 - MWAV Mode: Only Scan files
31 Okt 2008 12:59:36 - [CREATED ZIP FILE: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\pinfect.zip]

[/CODE]

und diese hier sind infected:


Ich hab was von Backdoor-Trojaner gelesen, das klingt ja garnicht gut. Was kannst Du mir raten? (außer dem, was keiner hier hören will...)

Der Backdoor kann ja drauf bleiben, ha ha, hauptsache der icqlite.exe kommt weg. War ´n Witz.

lg, eelaa

Hi,

die ersten 2 Meldungen heißt, das eScan nicht sicher ist, ob die Dateien funktionieren, das ist unbedenklich, da es sich um gutartige Dateien handelt.
Alles was nach "spyware" kommt sind in der Regel Fehlalarme. Leider hab ich heute nicht die Zeit, das zu kontrollieren.

lg myrtille

Hallo Myrtille,

auch auf die Gefahr hin, dass ich Dir langsam auf die Nerven gehe, bist Du immer noch meine 1.Ansprechpartnerin (es tut mir leid für Dich).

Ich habe wieder etwas gefunden, und zwar in der Registrierung, die ich mit dem Editor geöffnet habe:

[HKEY_USERS\S-1-5-21-3762956348-2271885587-451582532-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"User Agent"="Mozilla/4.0 (compatible; MSIE; Win32)"
"IE5_UA_Backup_Flag"="5.0"
"NoNetAutodial"=dword:00000000
"MigrateProxy"=dword:00000001
"EmailName"="IEUser@"
"AutoConfigProxy"="wininet.dll"
"MimeExclusionListForCache"="multipart/mixed multipart/x-mixed-replace multipart/x-byteranges "
"WarnOnPost"=hex:01,00,00,00
"UseSchannelDirectly"=hex:01,00,00,00
"EnableHttp1_1"=dword:00000001
"PrivacyAdvanced"=dword:00000000
"EnableNegotiate"=dword:00000001
"ProxyEnable"=dword:00000000
"GlobalUserOffline"=dword:00000000
"EnableAutodial"=dword:00000000
"EnableSecurityCheck"=dword:00000000
"ProxyHttp1.1"=dword:00000000
"PrivDiscUiShown"=dword:00000001
"WarnOnZoneCrossing"=dword:00000000
"SecureProtocols"=dword:000000a8
"UrlEncoding"=dword:00000000
"DisableCachingOfSSLPages"=dword:00000001
"CertificateRevocation"=dword:00000001
"ShowPunycode"=dword:00000000
"EnablePunycode"=dword:00000001
"DisableIDNPrompt"=dword:00000000
"WarnOnPostRedirect"=dword:00000000
"WarnonBadCertRecving"=dword:00000001
"ZonesSecurityUpgradeDone"=dword:00000001
"WarnOnHTTPSToHTTPRedirect"=dword:00000001
"ProxyServer"="icqlite.exe:5190"
"SyncMode5"=dword:00000000


Meine Frage ist nun, ob ich diese Sachen löschen kann,und wenn ja, wie, d. h. reicht es, wenn ich sie im Editor rausnehme? Sicherung der Reg hab ich gemacht.

Dieses fett markierte Benutzerkonto ist das, welches ich im abgesicherten Modus unter unbekanntes KOnto finde. Darum ging es mal ganz am Anfang meines Threats. Da sind noch mehr Einträge zu diesem Konto in der Registrierung.

Wichtig ist mir jetzt aber nur, kann ich diese Proxy-icqlite.exe-Sache in der Registrierung löschen und wie?

lg, eelaa (tut mir leid, dass ich so nerve)

Hi,

wenn du ein Backup gemacht hast, dann solltest du den Eintrag eigentlich problemlos löschen können.

Setz sicherheitshalber auch nen Systemwiederherstellungspunkt, bevor du das machst (Start->Programme->Zuvehör->Systemprogramme->systemwiederherstellung).

lg myrtille

Soooooooo Myrtille,


Jetzt hab ich´s wirklich geschafft!!!!!!!!!

Bei uns gibts heute eine icqlite.exe-EX-Party!! :taenzer:

Die Sache mit der Registrierung war der Jackpot.

Ich glaube per "regedit" kann man so manch lästige Sache loswerden.

Mein nächstes Kind wird Regedit heißen. Man könnte es Reggi rufen, klingt doch gut oder? ha ha ha

:aplaus:


lg, eelaa